fbpx

DNS over HTTPS (DoH) : Qu’est-ce que c’est ?

Je vous ai récemment parlé de l’intégration de la technologie DNS over HTTPS à la prochainne version de Google Chrome. Cependant je ne vous ai pas encore parlé de l’interêt de cette technologie : DNS over HTTPS permet de chiffrer la communication avec le serveur DNS, améliorant la confidentialité et la sécurité en ligne.

Voyons ensemble le principe de cette technologie plus en détails…

Qu’est-ce que DNS over HTTPS ?

Les grosses entreprises du web ont décidé depuis quelques années de normaliser le chiffrement des données qui transitent sur le web. Si bien qu’aujourd’hui la majorité des sites internet que vous visitez sont protégés par la norme HTTPS. Les navigateurs web récents (Firefox, Chrome…) affichent d’ailleurs depuis quelques versions, un message comme « Site non sécurisé » sur les pages qui n’en disposent pas. De plus, HTTP/3, la nouvelle norme HTTP, dispose d’un chiffrement intégré.

Ce chiffrement permet d’assurer que la page web que vous visitez n’as pas pu être altérée et que personne ne surveille vos activitées en ligne. Par exemple, lorsque vous visitez Google.fr, l’admin réseau (qu’il s’agisse d’un point d’accès WiFi public ou de votre FAI) pourra voir que vous êtes sur le moteur de recherche, mais il ne pourra pas savoir ce que vous avez cherché ou modifier les résultats de recherche.

Cependant, dans cette course à la confidentialité en ligne, les DNS ont été délaissés… Je vous rapelle que le DNS (ou Domain Name System) permet d’accéder aux sites internet grâce à leurs URL plutôt que leurs adresse IP (et ça c’est tout de même très pratique !). Vous tapez « google.fr » dans votre barre de recherche et votre ordinateur va demander au serveur DNS que vous utilisez « Où est-ce que je peut trouver ça ? », le serveur DNS cherche dans sa base de données et renvoie à votre ordinateur l’adresse IP correspondante. Votre PC peut ensuite s’y connecter dirrectement.

Jusqu’à présent, ces requètes DNS n’étaient pas chriffrées. Lorsque vous vous connectez à un site, votre PC envoie donc une requète non chiffrée disant « Je cherche à me connecter à ce site ». Cette requète peut être interceptée pour surveiller les sites sur lesquels vous vous rendez ou pire, modifier l’IP qui vous est renvoyée pour vous renvoyer sur un site de phishing (cela s’appelle le DNS Spoofing).

La technologie DNS over HTTPS permet d’empêcher cela en chiffrant ces requètes. En effet, en l’utilisant, votre PC va envoyer la requète au serveur DNS de manière chiffrée et sécurisée pour garantir la sécurité de l’utilisateur. Si votre requète est interceptée, elle ne pourra pas être déchiffrée et donc elle ne pourra pas être altérée.

Aujourd’hui la majorité des utilisateurs internet Français utilisent le DNS par défaut fourni par leurs FAI pour naviguer sur internet. Je vous conseille d’en changer si c’est le cas pour passer à des DNS plus respectueux de votre vie privée et souvent plus performants. De plus, les DNS que je vous recommande d’utiliser dans cet article, disposent déjà tous de la technologie DNS over HTTPS (pour l’utiliser vous aurez besoin d’utiliser un serveur DNS compatible mais aussi un client compatible, comme la dernière version de Chrome).

Quels sont les clients compatibles ?

Lorsque je parle de « Client » ici, comprennez « logiciels qui ont besoin du service DNS » : cela concerne en général les navigateurs Web. Les deux géants du secteur (Google Chrome et Mozilla Firefox) ont déjà intégré cette technologie à la dernière version de leurs navigateur et Microsoft a annoncé fin 2019 qu’ils allaient intégrer la technologie à leurs OS Windows prochainnement. Cela permettra à tous les utilisateurs Windows d’utiliser DNS over HTTPS sans avoir besoin de logiciels codés spécialement pour.

Google a annoncé avoir activé cette technologie pour 1% de ses utilisateurs sur la version Chrome 79. De plus, si vous utilisez ce navigateur (et qu’il est bien à jour) vous pouvez activer l’option manuellement pour en profiter tout de suite !

En 2019, Mozilla avait également annoncé vouloir activer DNS over HTTPS pour tous ses utilisateurs. L’option n’est toujours pas activée par défaut sur la version actuelle du navigateur mais vous pouvez le faire manuellement en vous rendant dans Menu => Options, scrollez  jusqu’en bas de page pour atteindre la section « Paramètres réseau » et cliquez sur « Paramètres » et cochez la case correspondante.

FAI Vs DoH : Fight !

Cela a fait grand bruit l’an dernier (2019) dans le monde d’internet : les FAI ne sont pas très jouasses de la démocratisation de cette technologie…

Bien que les afficionados de la confidentialité en ligne soient plutôt enjoués par cette norme, les FAI en revanche sont plus mitigés à l’annonce de cette nouvelle… En effet jusqu’à présent c’était les FAI qui proposaient leurs DNS par défaut à leurs utilisateurs, ce qui leur permettait de surveiller à grande echelle l’activité en ligne de leurs utilisateurs. Avec cette nouvelle technologie ce sera des organismes tiers (Google, Cloudflare…) qui s’en occuperont et ils n’auront plus accés à ces précieuses données !

Les FAI annoncent qu’ils sont inquiets vis à vis des informations que les nouveaux acteurs de cette scène (Google, Cloudflare…) pourraient collecter. Cloudflare a rétorqué qu’ils ne stockeraient pas les données de demandes DNS plus de 24h (annonce appuyée par un audit complet de leurs service).

Hmm, mais même pour 24h ce n’est pas bien rassurant que qui que ce soit stocke nos données non ?

En effet, mais cette annonce est à mettre en perspective avec les pratiques de certains FAI (dans de nombreux pays) qui gardaient ces données pendant des durées allant jusqu’à 1 AN !

En France la collecte de ce type de données est interdite pour les FAI (article numérama de 2017), mais lorsqu’on se renseigne sur la surveillance de masse mise en place par certains gouvernements (Cambridge analytica, Snowden…) on peut douter de leurs honnèteté avec leurs clients. D’ailleurs, dans un article bien plus récent (2019) publié sur laquadraturedunet (source sûre) on entends parler de la LPM et de son article 34 qui a l’air d’être volontairement très flou pour laisser des ouvertures sur la collecte de données sur les citoyens Français…

Pour en savoir plus sur le sujet, je vous conseille l’excellent dossier du site médiapart (1€ pour 15 jours d’accès à tous leurs articles) qui rassemble de nombreux articles sur le sujet.

Mais ils ont pas tout à fait tort !

Certes, le DoH va nous permettre d’échapper à une surveillance de masse de nos FAI et nos gouvernements… Mais quel intérêt si on se jette dans une surveillance de masse internationale des futurs services DoH ?

Il y a deux manières de proposer le DoH jusqu’à présent :

  • La méthode Google (et Microsoft) : Lorsque vous activez le DoH sur Chrome, votre navigateur continue d’utiliser les DNS configurés sur votre système. Si le DNS utilisé est compatible, vous pourez utiliser la technologie DoH via Chrome. Vous devrez donc configurer vous même vos serveurs DNS et choisir celui que vous voulez utiliser vous même. Si vous ne le faites pas vous resterez sur les DNS par défaut de votre FAI (souvent incompatible avec la technologie).
  • La méthode Firefox : Lorsque vous activez DoH sur Firefox, le navigateur sélectionne par défaut les DNS Cloudflare. Même si vous avez configuré des DNS différents pour votre système, maintenant Firefox passera par défaut par Cloudflare. Cela résulte d’un partenariat financier entre les deux géants du web et cela peut poser un problème de centralisation des échanges sur internet…
  • Updated mars 12, 2020
S’abonner
Notifier de
0 Commentaires
Inline Feedbacks
Voir tous les commentaires
0
Nous voulons connaitre votre avis, commentez !x