Apporter le chiffrement aux DNS est un besoin devenant essentiel. Si DNS over HTTPS participe à cet effort, il faut être attentif à la manière dont cette technologie est mise en œuvre. Un sujet complexe, surtout quand les éditeurs de navigateurs sont à la manœuvre. Même lorsqu'il s'agit de Mozilla.

Nous l'avons vu dans la première partie de ce dossier, le DNS est l'un des rares éléments techniques d'internet, que chacun d'entre nous utilise au quotidien, où la sécurité fait encore trop souvent défaut. Conçu il y a quarante ans, il n'a tout simplement pas été pensé pour bénéficier du chiffrement ou d'une signature de ses données.

Mais peu à peu les choses changent. Outre la mise en place (poussive) de DNSSEC, de nombreuses initiatives voient le jour et sont plus ou moins suivies par les différents acteurs. L'une d'elle est DNS over HTTPS (DoH) qui vise, comme son nom l'indique, à chiffrer les requêtes DNS en les encapsulant dans un flux HTTPS classique.

Une solution malaimée pour son aspect « HTTPisation du Net », mais qui a l'avantage d'être simple à appliquer, de se reposer sur des briques logicielles connues et maitrisées, ne pouvant être facilement bloquées en visant, par exemple, des ports spécifiques (contrairement à DNS over TLS, DoT). 

Utiliser un résolveur DoH : pas si simple

Dans notre précédent article, nous avons ainsi montré comment on pouvait effectuer une requête sur un résolveur DNS exploitant DoH à travers une simple ligne de commande. Mais voilà, l'utilisateur n'a que faire de telles solutions : il veut pouvoir profiter de la meilleure sécurité d'un tel résolveur par défaut, sans avoir à se casser la tête.

En l'état actuel des choses, ce n'est pas possible. Des travaux en ce sens sont en cours pour l'intégration aux interfaces des routeurs ou d'OS, notamment Windows 10, mais aucune date précise n'a encore été donnée. C'est pour cela qu'un autre type d'acteur s'est saisi du sujet ces dernières années : les navigateurs.

Car pour ce qui est de votre accès à internet, ils sont en première ligne. Une idée en apparence intéressante, séduisante, mais qui ajoute son lot de questions et de complexités.

• Qu'est-ce que DNS over HTTPS (DoH), qu'est-ce que cela peut vous apporter ?
• DNS over HTTPS (DoH) : au-delà de Firefox, une « question de confiance »
• DNS over HTTPS (DoH) : pour Stéphane Bortzmeyer, « le diable est dans les détails »
• Comment activer DNS over HTTPS (DoH) ? (à venir)

Une question de confiance

Car nous l'avons vu : DoH n'est pas un totem d'immunité. Tout d'abord parce qu'il n'est pas utilisé par les serveurs racine, de premier et de second niveau (TLD/SLD). Ainsi, il est impossible de se connecter à ces derniers de manière chiffrée et d'obtenir une réponse l'étant également. Le lien entre un résolveur DoH et eux n'est donc toujours pas sécurisé.

Autre problème : même si l'on s'y connecte à travers une requête HTTPS, un résolveur tiers reste un acteur en qui l'on doit avoir toute confiance. DoH vise à chiffrer le lien entre lui et nous, sécurisant l'échange, rien de plus. Le résolveur a toute connaissance des requêtes qu'un utilisateur effectue et DoH ne l'empêche pas de « mentir » dans ses réponses.

Elles peuvent être chiffrées, mais fausses. Il ne faut donc pas choisir son résolveur à la légère. Si l'on trouve par ici ou par là des listes de services compatibles DoH, il faut donc faire un peu de tri. En voici certains, situés en Europe (donc soumis au RGPD) et gérés par des organismes à but non lucratif :

• https://doh.powerdns.org/
• https://odvr.nic.cz/doh
• https://ldn-fai.net/dns-query
• https://doh.42 l.fr/dns-query
• https://dns.hostux.net/dns-query

DoH n'apporte pas de centralisation

Depuis quelques mois, lorsqu'il est question de DNS over HTTPS, les mêmes mots reviennent toujours, presque mécaniquement. Le reproche le plus courant est que cette technologie porte en elle le germe de la centralisation. 

C'est pourtant totalement faux : n'importe qui peut installer son propre résolveur DNS compatible DoH au sein de son réseau, l'utiliser pour lui-même, ses proches, le mettre à disposition des autres. C'est d'ailleurs ce qu'a fait Stéphane Bortzmeyer. Nombreux sont ceux qui existent déjà, à travers différents clients, démultipliant les possibilités. Ce, alors que le DNS est lui-même une solution technique qui a ses passages obligés : les serveurs racine, TLD/SLD.

Rappelons au passage qu'utiliser un résolveur DoH présent sur votre réseau local, pour vous-même, n'a que peu d'intérêt. Chiffrer un échange local n'apporte pas un grand bénéfice en matière de sécurité. Par contre, ce résolveur devra contacter lui-même les serveurs racine et TLD/SLD, de manière non chiffrée. Ils sauront alors directement qui est à l'origine de ces requêtes, ces échanges pouvant être observés par des tiers. On en revient au problème évoqué précédemment.

Il peut donc être opportun d'utiliser également un résolveur DoH tiers, ayant de nombreux utilisateurs. Lorsque votre résolveur DNS local ne sera pas suffisant, elle se tournera vers ce serveur externe, de manière sécurisée. C'est lui seul qui apparaîtra pour les serveurs racine et TLD/SLD, vos requêtes étant noyées dans la masse.

Utiliser DoH est donc une bonne chose, cette technologie ayant de nombreux intérêts. 

Le cas Firefox

Mais alors, pourquoi parle-t-on de centralisation du fait de DoH ? Cela vient en réalité de son implémentation. Car à défaut de pouvoir être activée dans une majorité de routeurs et d'OS, cette technologie a trouvé refuge dans les navigateurs.

Et en premier lieu Firefox, Mozilla ayant décidé de l'activer par défaut, pour l’instant aux États-Unis. Ailleurs, l'option est présente mais doit être activée manuellement. Autre choix effectué par défaut : utiliser Cloudflare comme résolveur DNS compatible DoH. Ce, alors que l'entreprise est déjà fortement critiquée pour être un SPoF (point de défaillance unique) du web actuel, tant il est utilisé par nombre de sites pour assurer leur sécurité en tant que firewall applicatif (WAF).

Mozilla a expliqué à plusieurs reprises chercher ce type de partenariat. L’éditeur a d'ailleurs créé une charte rassemblant tout un lot de règles sur lesquelles les partenaires doivent s’engager pour avoir le droit de figurer dans Firefox. Notamment, effacer quotidiennement les données accumulées et ne jamais les transmettre à des tiers.

Cette liste de prestataires devrait grandir avec le temps, mais Mozilla n’a pas donné de calendrier. Autre regret : cette solution ne protège pas tous les usages effectués hors du navigateur, et ils sont nombreux.

Pour accéder aux paramètres DoH de Firefox, rendez-vous dans l'onglet Général des options, puis dans les Paramètres réseau

Les utilisateurs ne modifient que très rarement les paramètres par défaut, certains craignent de voir CloudFlare devenir le résolveur DNS du plus grand nombre, un peu comme Google est utilisé comme moteur de recherche par défaut, notamment pour sa place centrale dans de nombreux systèmes et navigateurs (dont Firefox dans la plupart des pays).

Mozilla propose pourtant NextDNS comme alternative pour le moment, proposant même un mode personnalisé où vous pouvez indiquer l'URL du résolveur DNS compatible DoH de votre choix. Ajoutons que pour être certain de pouvoir faire son travail, Firefox utilise son propre résolveur, ainsi qu'un domaine à l'adresse use-application-dns.net.

On pourrait néanmoins imaginer que le navigateur n'impose aucun choix par défaut, propose à l'utilisateur de choisir après l'installation ou modifie régulièrement ce paramètre tant qu'aucun choix n'est fait par exemple. Ce n'est pour l'instant pas le cas. Il faudra d'ailleurs être attentif à l'attitude des navigateurs dérivés de Chromium sur le sujet.

Pour le moment au stade expérimental, le support DoH n'impose rien. Mais Google plaçant déjà ses propres DNS par défaut dans les routeurs Wi-Fi qu'il commercialise, on imagine qu'il sera tenté de faire de même dans Chrome. À suivre.