Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Firefox : premières activations du protocole DNS-over-HTTPS dans le mois

Firefox : premières activations du protocole DNS-over-HTTPS dans le mois

Le 12 septembre 2019 à 09h49

Mozilla teste ce protocole depuis 2017 et en a introduit le support dans Firefox 60, il y a plus d’un an. Désormais, l’éditeur est prêt à passer à la phase suivante.

DNS-over-HTTPS (DoH) est pour rappel une méthode de protection pour la résolution DNS qui, par défaut, n’est pas chiffrée ou protégée des regards. DoH ne chiffre pas les requêtes, mais les cache en les déguisant en trafic HTTPS classique. Ces requêtes peuvent être chiffrées, mais c’est le travail d’un autre protocole, DNS-over-TLS (DoT).

Mozilla va donc activer le protocole chez un petit nombre d’utilisateurs aux États-Unis dans le courant du mois. Si le test se passe bien, le déploiement continuera, très progressivement. L’utilisation du DoH n’est pas en effet sans poser problème.

Les serveurs DNS doivent en effet être compatibles, et Mozilla a décidé de passer par les résolveurs de Cloudflare pour s’occuper de ces opérations. Il s’agit de la configuration par défaut, mais l’utilisateur est libre de modifier ce paramètre.

De fait, la gestion du DNS est transférée du système d’exploitation au navigateur, créant une problématique inédite : les services de sécurité basés sur l’analyse DNS ne peuvent plus fonctionner. Inédite parce que la conséquence n’est plus le fruit de l’installation volontaire d’un produit spécifique comme un VPN, mais d’une configuration par défaut dans un logiciel grand public.

De nombreux produits deviennent inopérants avec DoH : les filtres DNS en entreprise, les outils de contrôle parental, une partie des fonctions des antivirus, les pare-feux et ainsi de suite.

La bascule fait tellement peur qu’elle avait poussé en juillet l’Internet Services Providers Association (ISPAUK) au Royaume-Uni à ranger Mozilla dans la catégorie des « méchants d’Internet ». Raison principale invoquée : l’impossibilité de lutter contre la pédopornographie.

En juillet également, le monde découvrait le premier malware à se servir de DoH pour ses propres sales besognes, cachant d’autant mieux son activité.

Mozilla est au courant de ces problèmes et travaille déjà sur des solutions. Par exemple, désactiver DoH quand une solution de contrôle parental est détectée. Mozilla propose également aux fournisseurs d'accès qui le souhaiteraient d'ajouter son domaine « canary » à leur liste de blocage. DoH serait alors coupé en cas de détection d'un blocage du domaine.

Mais même si Firefox s’est attiré en premier les foudres d’un certain nombre d’acteurs, le phénomène n'est pas prêt de disparaître : Chrome va faire de même avec sa version 78 le mois prochain, là encore pour un très petit nombre d’utilisateurs. Les compromis ne font que commencer.

Le 12 septembre 2019 à 09h49

Commentaires (59)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Merci pour le lien !



Même si c’est configurable, il n’empêche que la majorité des utilisateurs lambda ne feront jamais ce changement, donc les problématiques de vie privée et de fiabilité se posent tout de même à mon sens.

votre avatar

> Les FAI pourraient en outre fournir une liste de domaines bloqués, pour lesquels Firefox couperait automatiquement sa protection





Pardon ? Bonjour la neutralité… :(

Entre ça et les questions de “faut-il inclure” tel ou tel certificat racine, Mozilla marche sur des œufs récemment.

votre avatar

Effectivement, cet article découvert via hackernews parle de cette centralisation : https://ungleich.ch/en-us/cms/blog/2019/09/11/turn-off-doh-firefox/

votre avatar

Perso j’utilise les DoH dans Firefox depuis quelques mois (ceux de Quad9), aucun problème à déplorer jusque-là.

votre avatar

Ils by-passent entièrement le /etc/resolv.conf ? Ça revient à se tirer une balle dans le pied pour tout usage en entreprise, puisque ça désactive le VPN et ça ne peut pas accéder aux applications web sur les serveurs privés.

Ça sent le rétropédalage très prochainement.

votre avatar

Je suis très dubitatif sur cette fonctionnalité… Autant je vois l’intérêt du protocole pour la vie privée mais autant son implémentation actuelle et les effets de bords qu’il apporte me paraissent donner un ratio bénéfice/risque très peu favorable.



Je pense que je le désactiverai au départ tout du moins…

votre avatar







la news a écrit :



De nombreux produits deviennent inopérants avec DoH : les filtres DNS en

entreprise, les outils de contrôle parental, une partie des fonctions

des antivirus, les pare-feux et ainsi de suite.





Il suffit d’avoir des équipements DPI-SSL. C’est très efficace.

Les autres entreprises banniront Firefox s’ils n’arrivent pas à forcer un réglage différent.


votre avatar







Perfect Slayer a écrit :



>Entre ça et les questions de “faut-il inclure” tel ou tel certificat racine, Mozilla marche sur des œufs récemment.





Le choix des certificats racines à inclure, tous doivent le faire. Il n’y a pas de base “normalisée” ou de choix par défaut.


votre avatar

À noter que l’interception SSL/TLS pose déjà plusieurs problématiques peu connues.

votre avatar

Pourquoi ne pas faire évoluer DNS à la place ? Avec soit du chiffrement soit du brouillage de piste (ex: 3 réponses pour 1 requête). Même si cela réclame plus de ressource. Enfin pas tant que cela non plus.



J’ajoute que les trucs “dark” ne figurent pas dans les DNS publics grâce à la “bienveillance” des admins et/ou des gouvernement. Chacun ayant une opinion sur le mot bienveillance. Donc voila…

 

 



 

votre avatar

Pour une communication HTTPS sans chiffrement :




  • on est certain de l’identité du serveur original

  • les données peuvent être altérées par un tiers sans que ce soit perceptible

    C’est bien ca?



    Tu as des cas d’utilisation de ce “système” ?

votre avatar

Ou comment, en une mise à jour, faire tomber à l’eau tous les blocages DNS ordonnés par la justice française :)

votre avatar







TexMex a écrit :



J’ajoute que les trucs “dark” ne figurent pas dans les DNS publics grâce à la “bienveillance” des admins et/ou des gouvernement. Chacun ayant une opinion sur le mot bienveillance. Donc voila…





<img data-src=" /> C’est un peut pour ça que le “dark” existe aussi : Ne pas être à la vue de tout le monde. <img data-src=" />


votre avatar







Brouck a écrit :



Ou comment, en une mise à jour, faire tomber à l’eau tous les blocages DNS ordonnés par la justice française :)





<img data-src=" />

Mozilla est au courant de ces problèmes et travaille déjà sur des solutions. Par exemple, désactiver DoH quand une solution de contrôle parental est détectée. Les FAI pourraient en outre fournir une liste de domaines bloqués, pour lesquels Firefox couperait automatiquement sa protection, ne permettant alors plus de court-circuiter ledit blocage.



Faut lire jusqu’au bout. <img data-src=" />


votre avatar







marba a écrit :



Pour une liste de serveurs autre que américains :github.com GitHubMozilla laisse toujours l’option de mettre un autre serveur c’est déjà ça. Peut être qu’ils vont ajouter une option dans le futur.





Excuse moi, mais, dans le champ je mets 9.9.9.9 ou le lien tout courthttps://dns.quad9.net/dns-query &nbsp; ?

je comprends pas en fait

et comment savoir que mon Doh fonctionne en dehors de ceux de 1.1.1.1

un test rapide de ‘9.9.9.9’ dans le site de cloudflare me dit que ça fonctionne pas avec Quad9

merci de ta réponse <img data-src=" />


votre avatar







choukky a écrit :



<img data-src=" />

Mozilla est au courant de ces problèmes et travaille déjà sur des solutions. Par exemple, désactiver DoH quand une solution de contrôle parental est détectée. Les FAI pourraient en outre fournir une liste de domaines bloqués, pour lesquels Firefox couperait automatiquement sa protection, ne permettant alors plus de court-circuiter ledit blocage.



Faut lire jusqu’au bout. <img data-src=" />





En effet ! Mais j’ai du mal à voir comment ils vont mettre ça en place. À part peut-être déterminer ton FAI en se basant sur ton IP puis appliquer la liste correspondante ?


votre avatar
votre avatar

C’est configurable pour ceux qui savent que c’est là.

Mais pour le péquin moyen qui n’arrivera plus à accéder à mafreebox.freebox.fr et ne comprendra pas d’où ça vient, ça restera un mystère.



Le DNS, c’est une fonction de l’OS, configurée dans l’OS. Ça n’a rien à faire dans un navigateur.

votre avatar

je pense que le “qui n’est pas chiffrée” s’applique à la résolution DNS, pas au DNS-Over-HTTPS

votre avatar

J’espère que Chrome avancera vite sur son implémentation. Si seul Firefox le propose, il risque de se faire bannir, notamment en entreprise, ce qui ne sera pas un gros problème vu ses parts de marché. Par contre c’est plus difficile pour Chrome, les admins devront faire avec.

votre avatar

Je vois cette fonction comme une phase de l’expérimentation, logique vu la sensibilité de la fonction DNS.

Par suite, j’espère que Mozilla va rendre la chose plus accessible au grand public et proposer plusieurs fournisseurs comme cela existe pour kes moteurs de recherche.

votre avatar

Ben non, le “chiffrement” de la résolution DNS ( ie : être sûr les données sont les bonnes ) est prévu par DNSSEC.



DNS-over-TLS permet de faire du DNS sur un canal TCP chiffré

DNS-over-HTTPS permet de faire du DNS sur un canal HTTPS ( donc HTTP chiffré )



Je me trompe quelque part ?

votre avatar

Les entreprises peuvent paramétrer Firefox tant qu’elles veulent, et enlever cette option, donc le problème n’est vraiment pas les entreprises.



Ça va faire chier les FAI et les gouvernements oui.

votre avatar

&gt; HTTPS ne signifie pas obligatoirement qu’un chiffrement est appliqué mais donne une preuve de l’identité du serveur avec lequel le client échange. Le chiffrement est en option mais appliqué dans la majorité des cas.



&nbsp;Avec HTTPS, la connexion est toujours chiffrée. Ou alors il faudra me dire comment tu protèges tes payements sur internet… 



&nbsp;Ce qui est dit là c'est que DoH ne chiffre pas le contenu donc pas de chiffrement en plus de celui déjà proposé HTTPS.
votre avatar

Non, DNSSEC ne chiffre rien du tout. Cela permet de signer numériquement les entrées DNS et donc s’assurer qu’elles n’ont pas été altérées en court de route. Les données restent toujours en claire.C’est le protocole DoT qui permet le chiffrement.

votre avatar

Les GPO pour Firefox supportent la gestion de cette fonctionnalité :

github.com GitHub



Pour ta remarque sur Chrome je ne comprend pas trop : rien n’empêche les admins de bloquer Chrome autant que Firefox. D’ailleurs Chrome devrait être bloqué par défaut en entreprise <img data-src=" />

votre avatar

Je suis d’accord avec la dernière partie de ton message <img data-src=" />



Je voulais dire que si on ne veut pas faire l’effort de paramétrage, il est plus facile de bloquer un navigateur avec ~5% de parts de marché (et probablement moins en entreprise) que celui qui a 60 ou 70%, les conséquences ne sont pas les mêmes. Aux utilisateurs qui premier, on dira “z’avez qu’à changer”, à ceux du second, c’est plus compliqué (mais certes pas impossible).

votre avatar

L’informatique doit être une dictature ( <img data-src=" /> ) et puis Edge fonctionne bien (double <img data-src=" /> )

votre avatar

Oui, c’est pour ca que je précise “être sûr les données sont les bonnes”.

Le terme signer est beaucoup plus clair, mais ca passe par du chiffrement via cle publique/clef privée non?



C’est DoT qui permet le chiffrement oui. Mais DoH aussi non?

Ca existe du DoH non chiffré?

votre avatar

tu me parles de technique et moi je te parle de rédaction en français ^^



La proposition relative “qui, par défaut, n’est pas chiffrée ou protégée des regards” s’applique au nom “la résolution DNS”, c’est tout ce que je voulais dire.



Sur le côté technique, je te fais confiance : tu en sais très probablement beaucoup plus que moi <img data-src=" />

votre avatar

Après c’est pas dit qu’ils l’activent dans Firefox ESR qui est la version de Firefox adaptée aux entreprises

votre avatar

Clairement! La résolution de nom, ça se fait au niveau de l’OS!



Pour les intéressés sur l’avancée en la matière, hors firefox: DNS Privacy Project

votre avatar

“en a introduit le support dans Firefox 60”

j’ai sur mon poste Ffx 60.9.0esr

votre avatar

Sauf que les OS dominants n’ont pas l’air d’avoir la privacy comme motivation première, et Firefox n’est pas un OS.



Je trouve ça très bien au contraire que Mozilla développe une solution, sinon ça ne bougerait pas.

votre avatar







dematbreizh a écrit :



“en a introduit le support dans Firefox 60”

j’ai sur mon poste Ffx 60.9.0esr







support ≠ activé par défaut



Les ESR n’ont pas de mise à jour fonctionnelles, seulement correction de bug/failles. C’est le principe.


votre avatar

J’aimerais bien voir des stats pour savoir combien d’entreprises utilisens la version ESR, ou la release publique.

votre avatar

En même temps, les entreprises vont pas se plaindre d’utiliser un soft en rolling release alors qu’il y a une version stable avec support long terme qui leur est proposé.

votre avatar

Il n’y a pas que les entreprises, il y a aussi la mamie du Cantal qui veut accéder à sa freebox ou à son imprimante réseau en utilisant un hostname d’une machine sur le réseau privé.



Un navigateur, ça ne sert pas qu’à aller sur des choses qui sont sur le réseau public.



En plus, comment dire… Cloudflare, quoi ! J’imagine qu’il doit y avoir un partenariat et que Cloudflare finance la fondation Mozilla pour avoir le droit d’être choisi comme DNS par défaut et bypasser le DNS de l’OS. Un peu comme les DNS menteurs, à l’époque.

votre avatar







WereWindle a écrit :



La proposition relative “qui, par défaut, n’est pas chiffrée ou protégée des regards” s’applique au nom “la résolution DNS”, c’est tout ce que je voulais dire.







<img data-src=" /> ha bah oui lu comme ca, c’est pas faux <img data-src=" />


votre avatar

La solution serait peut être d’utiliser des tld approprié comme « .local » non ?



Je pense pas que firefox utilise Dns over Https (et donc cloudflare) pour faire les requêtes sur un .local.

votre avatar

C’est le principe des attaques par déclassement (Downgrade attack).

HTTPS ne définit pas un chiffrement à utiliser. Cela résulte d’une négociation entre le client et le serveur.

Donc tu peux avoir un chiffrement affaibli voir faible ou aucun chiffrement du tout (ce qui est aussi un des choix de cette négociation) lors d’une connexion HTTPS.

votre avatar







alex.d. a écrit :



C’est configurable pour ceux qui savent que c’est là.

Mais pour le péquin moyen qui n’arrivera plus à accéder à mafreebox.freebox.fr et ne comprendra pas d’où ça vient, ça restera un mystère.



Le DNS, c’est une fonction de l’OS, configurée dans l’OS. Ça n’a rien à faire dans un navigateur.





mafreebox.freebox.fr c’est 212.27.38.253, une IP traitée spécialement par les Freebox. Donc ça fonctionne avec n’importe quel DNS.



Sinon d’une manière générale, avec la configuration par défaut, il interroge le DNS système en cas d’échec de résolution par le DoH.


votre avatar







hwti a écrit :



Sinon d’une manière générale, avec la configuration par défaut, il interroge le DNS système en cas d’échec de résolution par le DoH.





Même mieux, avant d’activer DoH firefox demande au serveur DNS du système s’il peut utiliser DoH.

Il fait cela vec la requête DNS&nbsp; use-application-dns.netsi la réponse est NXDOMAIN (paramétré par le sysadmin qui souhaite rester maitre des DNS) alors firefox n’utilise pas DoH sur ce réseau.


votre avatar

Juste une remarque.

Les entreprises de taille suffisante pour avoir une DSI ont généralement un proxy lisant les flux HTTPS. Via l’inclusion de certificat intermédiaire du proxy pour que ce soit transparent sur le pc utilisateur.



Donc ça ne sera pas parfait non plus et tout autant vulnérable sur les réseaux un peu truands.



Sinon concernant chrome en entreprise, perso je l’ai vu devenir rapidement le dominant chez les différentes boîtes que je côtoie. Surtout quand les SI externalisent auprès de Google Apps for business ou encore Office 365.

votre avatar

C’est une fonctionnalité minimale d’un OS certes. Mais je ne vois pas de contraintes à ce qu’à navigateur propose mieux. Surtout quand les navigateurs progressent bien plus vite en terme de fonctionnalités (utilisateurs) qu’un OS.

votre avatar







marba a écrit :



La solution serait peut être d’utiliser des tld approprié comme « .local » non ?



Je pense pas que firefox utilise Dns over Https (et donc cloudflare) pour faire les requêtes sur un .local.





Les entrées locales n’ont pas de tld, c’est juste le hostname. Ou chez moi, j’ai un sous-domaine privé d’un domaine public, que le DoH ne risque pas de voir… J’ai ça aussi au boulot, d’ailleurs.


votre avatar







Vekin a écrit :



À noter que l’interception SSL/TLS pose déjà plusieurs problématiques peu connues.





Si ton module DPI-SSL est correctement configuré, il reproduit le certificat source à l’identique (hormis les clefs).

Après, c’est sûr qu’avec un logiciel mal configuré / sur du matos au rabais, ben les mecs pinent la sécurité pour avoir de la performance….

&nbsp;


votre avatar







sephirostoy a écrit :



C’est une fonctionnalité minimale d’un OS certes. Mais je ne vois pas de contraintes à ce qu’à navigateur propose mieux. Surtout quand les navigateurs progressent bien plus vite en terme de fonctionnalités (utilisateurs) qu’un OS.





Le navigateur ne propose pas “mieux” : il détourne ton DNS de celui que tu as configuré et en qui tu as confiance pour utiliser à la place et en douce celui de Cloudflare. Il by-passe ta config locale, tes hostnames locaux, ton filtrage, ton choix de DNS français, libre, non-menteur et non-pollué, pour à la place prendre un truc sans ta config locale, américain, et commercial.

Merci Mozilla, c’est tout-à-fait l’esprit du logiciel libre.

&nbsp;


votre avatar







hwti a écrit :



mafreebox.freebox.fr c’est 212.27.38.253, une IP traitée spécialement par les Freebox. Donc ça fonctionne avec n’importe quel DNS.



Bah non, puisque ta freebox ne verra plus passer la requête DNS.

&nbsp;


votre avatar

mafreebox.freebox.fr est résolu en 212.27.38.253 sur n’importe quel DNS.

Cette IP spéciale est redirigée en local par la Freebox au lieu de partir sur internet, peu importe comment elle a été obtenue. L’action se fait donc au niveau du routage, pas du DNS.



Le seul cas où il y aurait besoin d’utiliser le DNS de la Freebox, c’est si l’IP retournée était celle du LAN (192.168.1.1 par exemple), or ce n’est pas le cas.

votre avatar







Perfect Slayer a écrit :



Donc tu peux avoir un chiffrement affaibli voir faible ou aucun chiffrement du tout (ce qui est aussi un des choix de cette négociation) lors d’une connexion HTTPS.





Je ne vois pas dans la RFC concernant TLS ou HTTPS de cas où on peut négocier un non chiffrement. Tu as un cas concret ?


votre avatar



il détourne ton DNS de celui que tu as configuré



Il n’y a que les utilisateurs avertis qui configurent leur propre DNS avec leurs propres filtres, ces mêmes personnes sauront comment désactiver cet option dans Firefox.



Quand à CloudFlare, ce n’est que pour le marché US, Mozilla recherche des partenaires en Europe et ailleurs. C’est pour ça que l’option n’est testé qu’aux US pour le moment.



Et je n’ai aucun doute sur le fait que quand Mozilla proposera l’option à tous, il y a aura une interface dédié expliquant les tenants et aboutissants de manière suffisamment clair pour qu’un néophyte puisse comprendre, comme ils l’ont fait avec la navigation privée.

Et que l’on pourra activer ou non cette option et configurer le serveur DNS.

votre avatar







sephirostoy a écrit :



Il n’y a que les utilisateurs avertis qui configurent leur propre DNS avec leurs propres filtres, ces mêmes personnes sauront comment désactiver cet option dans Firefox.



Ce n’est pas forcément la même personne. Il y a plus d’utilisateurs que de sysadmins. Il ne faut pas croire qu’une simple config propagée par la DSI suffira : il y a de plus en plus de BYOD, les DSI perdent le contrôle sur les terminaux. Et même à la maison, j’ai la main sur mon DNS, mais j’ai 5 utilisateurs qui n’y entravent que dalle à ce qu’est un DNS (et vont me gueuler dessus quand ça ne marchera plus).

Bon, j’ai déjà ajouté une entrée NXDOMAIN pour&nbsp;use-application-dns.net, histoire d’être future-proof&nbsp;<img data-src=" />

&nbsp;


votre avatar

Fork / patch =&gt; pas de liste

votre avatar







psn00ps a écrit :



Fork / patch =&gt; pas de liste





<img data-src=" /> Exact dans le cas d’un patch/mise à jour diffusée par Mozilla. J’aurais du lire les propos de Brouck avec plus d’attention. <img data-src=" />

Le fork, par contre n’implique pas la responsabilité de Mozilla. <img data-src=" />


votre avatar

Cette dépendance de Firefox envers Cloudflare m’inquiète de plus en plus : d’abord ça, puis le VPN intégré… Mozilla s’érige en chantre de la protection de la vie privée mais utilise un service américain propriétaire et décrié comme étant un SPoF trop présent sur Internet ? <img data-src=" />

votre avatar



DNS-over-HTTPS (DoH) est pour rappel une méthode de protection pour la résolution DNS qui, par défaut, n’est pas chiffrée ou protégée des regards. DoH ne chiffre pas les requêtes, mais les cache en les déguisant en trafic HTTPS classique. Ces requêtes peuvent être chiffrées, mais c’est le travail d’un autre protocole, DNS-over-TLS (DoT).





Heu.. DNS-over-HTTPS c’est du DNS encapsulé dans du HTTPS, donc c’est chiffré.

Non?



Requêtes et réponses, au lieu de voyager directement sur UDP ou TCP sont encapsulées dans HTTP, plus exactement HTTPS

votre avatar

Pour une liste de serveurs autre que américains :github.com GitHubMozilla laisse toujours l’option de mettre un autre serveur c’est déjà ça. Peut être qu’ils vont ajouter une option dans le futur.

votre avatar

HTTPS ne signifie pas obligatoirement qu’un chiffrement est appliqué mais donne une preuve de l’identité du serveur avec lequel le client échange. Le chiffrement est en option mais appliqué dans la majorité des cas.

Firefox : premières activations du protocole DNS-over-HTTPS dans le mois

Fermer