Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

DNS over HTTPS (DoH) : pour Stéphane Bortzmeyer, « le diable est dans les détails »

1.1.1.1 is not enough

DNS over HTTPS (DoH) : pour Stéphane Bortzmeyer, « le diable est dans les détails »

Notre dossier sur DNS over HTTPS :

Le 26 mars 2020 à 09h15

DNS over HTTPS se répand progressivement dans nos navigateurs. Une implémentation contestée de cette technologie prometteuse, assurant une meilleure sécurité des internautes. Choix par défaut menant à une centralisation, action partielle... nous nous sommes entretenus avec Stéphane Bortzmeyer, qui nous livre son point de vue.

Pour le spécialiste des réseaux (Cyberstructure : L'Internet, un espace politique chez C&F Éditions), au blog réputé pour son analyse fine des RFC qui définissent les standards qui font Internet, DNS over HTTPS « est une bonne idée dans l’absolu, parce que le DNS est le dernier gros morceau en clair sur Internet. Mais le diable se cache dans les détails ».

Quels détails ? « Il s’agit avant tout d’une question de confiance. C’est bien joli de chiffrer les requêtes, mais si le serveur ne fait pas ce qu’il dit, on se retrouve dans la même situation, même si la sécurité augmente. Un serveur DNS peut toujours mentir ». Il résume la situation : « DoH ne fait que sécuriser le canal de communication, pas la machine à l’autre bout ».

Mais c’est finalement une question inhérente à Internet, dès lors que l’on confie un traitement de données à un tiers. Le cas rappelle par exemple Do Not Track : on pouvait activer le réglage pour demander à ne pas être suivi, mais sa prise en charge et sa bonne application dépendaient du bon vouloir des sites.

Ne pas voir DoH que par le prisme du choix de Cloudflare par Firefox

Il y a un autre problème : « Oui c’est une bonne idée que Firefox active DoH par défaut, mais on peut se poser des questions sur le choix du partenaire principal. Cloudflare est une société américaine. Ils pourront signer toutes les chartes et s’engager autant qu’ils veulent, la loi américaine sera toujours plus forte », ajoute Bortzmeyer, faisant référence au Cloud Act.

Se pose donc un problème de choix. Il implique que les internautes connaissent les tenants et aboutissants du problème, et qu’ils savent ce qu’est un DNS. Le spécialiste connait bien le problème : « Même ceux qui s’y connaissent un peu butent sur des questions simples, comme comment choisir son instance sur PeerTube. Alors imaginez pour le choix d’un serveur DNS ».

Il ne remet cependant pas l’existence de DoH en question, au contraire : « Il faut l’activer partout où c’est possible, pour créer une tension. Mais certains acteurs râleront ou ont déjà râlé, comme les fournisseurs d’accès au Royaume-Uni ».

Une question de pression

On se rappelle en effet que les FAI anglais avaient listé Mozilla dans leurs « grands méchants 2019 » pour son action en faveur de DoH. Le protocole était accusé de bien des maux, notamment de rendre plus complexe la lutte contre la criminalité (dont la pédopornographie) et inopérants les systèmes de contrôle parental. « Les arguments classiques », soupire Bortzmeyer.

Pourquoi une telle pression ? « Parce que gérer des serveurs DNS permet beaucoup de choses, dont le pouvoir de suivre n’importe qui dans ses habitudes de navigation. C’est vous qui déterminez alors ce que va voir quelqu’un en tapant une adresse. C’est en grande partie le territoire des fournisseurs d’accès. Et ils ne veulent pas être réduits à de simples relais, à ne faire que de la tuyauterie ».

Si vous n’avez jamais modifié ces réglages, le résolveur DNS est en effet automatiquement fourni par votre fournisseur d’accès, via la box. Plus le nombre de clients (applications, navigateurs, systèmes d’exploitation…) à utiliser des résolveurs tiers compatibles DoH sera élevé, plus la pression exercée sur les FAI augmentera. En France, aucun ne l’a encore mis en place. « Ils se posent un peu en rempart devant les GAFAM, mais ça reste une forme de contrôle des utilisateurs ».

Chez nous, les quatre fournisseurs majeurs (Bouygues Telecom, FreeOrange et SFR) ont en outre des DNS « menteurs », une obligation imposée par la loi. Trois acteurs peuvent en effet exiger de leur part des blocages : l'Arjel, le ministère de l'Intérieur et les tribunaux. Que ce soit pour des questions de lutte anti-terroriste ou suite à la condamnation d'un site pour partage d'œuvres protégées, un DNS menteur permet de renvoyer une page d'erreur quand on cherche à accéder à une ressource ou un site. Techniquement, ils existent toujours, mais deviennent introuvables ou renvoient ailleurs.

Une quatrième entité aura bientôt le pouvoir d'ordonner de tels blocages : l'Arcom, qui consacrera la fusion du CSA et de la Hadopi et devrait généraliser les requêtes de blocage à l'ensemble des acteurs cette fois. 

DNS over HTTPS ne fait pas tout

Et même si les FAI activaient tous demain DoH, cela ne règlerait qu’une partie du problème. Encore et toujours la question de la confiance : « Si les DNS mentent d’une manière ou d’une autre, ça revient à sécuriser des mensonges ».

Comment faire face à ce point délicat ? « Ce n’est pas très différent finalement de n’importe quel logiciel : ils prennent des tas de décisions pour nous tous les jours, et on ne peut pas y faire grand-chose. Mais on peut limiter les risques, par exemple en utilisant des logiciels libres, dont le code est connu », explique Stéphane Bortzmeyer.

Surtout, il insiste : « Il faut absolument qu’il y ait plus de navigateurs et de prestataires, il faut que la concurrence fasse son travail. Du côté des serveurs, on pourrait imaginer une armée de CHATONS », faisant référence à l’initiative de Framasoft pour des hébergeurs éthiques, libres et responsables.

Commentaires (38)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Le blocage de DNS n’est pas parfait mais il suit souvent une décision de justice. Par exemple fermer (ou bloquer si à l’étranger) un site de pédopornographie, un site révisionniste, la zoophilie…



Vivre en société impose forcément d’avoir des règles du bon vivre ensemble. Se pose donc de comment avoir des règles du bon vivre sur internet ? Devons nous prendre pour 99% qui ne changent pas les réglages les règles du bon sens des USA ?



Je suis pour que les humains élèvent le débat. En pratique, ce n’est pas forcément le cas. Et il y a et aura toujours des personnes déviantes, à bon escient (arts, culture…) et parfois moins (meurtrier…). Quelle solution pouvont apporter à internet pour résoudre ce genre de problématique. Clair que le blocage DNS n’est pas idéal mais c’est simple et fonctionne pour 99% des personnes.



A+

votre avatar

Les antivirus INstallent leur certificat pour le https.

La confiance est impossible.

votre avatar

Pour le dire clairement, le DoH résout un problème mais pas tout.



Comme un seul certificat TLS, en fait : il chiffre les communications, mais tout seul il ne garantit pas que l’on est sur le bon site (quoi qu’en site les banques). Pour ça il faut autre chose en plus, à savoir la confiance dans l’autorité qui certifie que tel ou tel site est bien celui qu’il prétend être.

votre avatar







Vincent Hermann a écrit :



Si vous n’avez jamais modifié ces réglages, le résolveur DNS est en effet automatiquement fourni par votre fournisseur d’accès, via la box.





Depuis la maj de la 4G Box de Bouygues, je ne trouve plus l’accès à ce paramétrage… Du coup, je me tape obligatoirement le DNS de Bouygues <img data-src=" />


votre avatar



Le protocole était accusé de bien des maux, notamment de rendre plus complexe la lutte contre la criminalité (dont la pédopornographie) et inopérants les systèmes de contrôle parental.





Rendre plus complexe le cassage de thermomètre et le repos sur les technologies et ceux qui les font/contrôlent ? Faut pas se faire intimider par ce genre d’arguments.

votre avatar

ce n’est plus faisable avec TLS 1.3, plus de man in middle possible par un antivirus ou la passerelle internet de l’entreprise

votre avatar







TexMex a écrit :



[…]



&nbsp;Une famille de 4 qui va au cinéma et le Smicar fait un infarctus. En fonction de l’endroit il va “débourser sa race”.

A paris: (12 euros x 4) + 2 friandises à 2,50… le billet de 50 s’est évanoui.

En province : (8 euros x 4) +2 friandises à 2,50… le billet de 50 survie mais bon, il fait la gueule.



A méditer.

&nbsp;





Rien à méditer.&nbsp; Il y a des loisirs qui ne coutent pas grand chose (ou des abonnements, ou des aides).



Par contre, si on prend la recherche, dont la recherche publique, les éditeurs de journaux scientifiques verrouillent souvent l’accès aux publications, mêmes celles issues des deniers publiques, et ils s’en mettent plein les poches sans même rémunérer les chercheurs-évaluateurs et les chercheurs-auteurs !



En france, c’est clairement du DNS menteur qui bloque Sci-Hub, qui permet justement aux chercheurs de contourner ce vol organisé.

&nbsp;


votre avatar







xillibit a écrit :



ce n’est plus faisable avec TLS 1.3, plus de man in middle possible par un antivirus ou la passerelle internet de l’entreprise





Euh, vous pouvez expliquer ? Parce que c’est faux. Si on peut installer l’AC de son choix sur chaque poste (classique en entreprise), TLS 1.3 ne change rien.


votre avatar







Mihashi a écrit :



SFR ?





Sinon, j’ai un résolveur DNS récursif en local (package DNS Server sur mon NAS Synology).

Dans ce cas les DoH et DoT entre mes ordi et mon serveur n’ont pas d’intérêt (si j’ai confiance dans les machines connectées à mon réseau ), non ?



Et qu’est-ce que je peux faire (enfin plutôt espérer) pour que mes requêtes soient chiffrées entre mon résolveur et le reste du monde ?





En effet, dans ce cas, DoH et DoT sur le réseau local n’ont guère d’intérêt.



Pour le lien entre résolveur et serveurs faisant autorité, il n’est en effet pas chiffré pour l’instant. L’IETF y travaille.


votre avatar

Pour info pour répondre à quelqu’un, vous n’êtes pas obligé de cliquer sur la flèche “Répondre” ET les guillemets “Citer”, un choix suffit <img data-src=" />

votre avatar

Effectivement :)

J’avais pas mal entendu le DoH mais pas trop le DoT, naivement, j’ai fais un raccourci, merci.

votre avatar

Cool, merci pour l’info <img data-src=" />

votre avatar

La commande Répondre permet de placer sa réponse dans la hiérarchie du fil de discussion. La commande Citer permet de citer le message. Cliquer sur les deux boutons permet du coup de citer le message et de placer sa réponse dans le fil de discussion.

votre avatar

Et puis bon les injonctions de justice, si ça venait à arriver sur des associatifs, on verrait sûrement fleurir des résolveurs offshore, comme les VPN, chat souris toussaaa

Ce qui me fait penser que la Quadrature du Net a bien contesté la rétention des logs &gt; 2 semaines, comment ça s’est fini ?



Et puis accessoirement des résolveurs DNS indépendants c’est juste la base, on a bien vu comment les gouvernements du monde ont la gâchette facile, chaque année c’est de plus en plus crédible que ça nous pend au nez.



ni FAI, ni cloudflare, poison ou arsenic

votre avatar

En cherchant un peu (pas trop longtemps), la LdN propose un DoH ouvert (?) :https://ldn-fai.net/serveur-dns-recursif-ouvert/



UTL à rentrer dans les paramètres :https://ldn-fai.net/dns-query

votre avatar

Oui, il est même mentionné dans la liste donnée dans le second papier du dossier ;)

votre avatar

J’aimerais bien pouvoir faire de la résolution DNS récursive tout en utilisant DoH. Ça permettrait de valider les signatures DNSSEC.

votre avatar

DoH permet tout à fait cela. Après, il faut trouver un client DoH validant avec DNSSEC et je ne crois pas qu’il en existe (mais plusieurs sont en cours de développement).

votre avatar

Article très intéressant.

&nbsp;Malgré les limites de DoH, il est bon de rappeler qu’il faut “l’activer partout où c’est possible” 👍

votre avatar

Oui, j’avais essayé de configurer mon unbound pour ça, mais ça n’avait pas l’air d’être encore possible.

votre avatar

Si je comprends bien, une des meilleures solution envisageables aujourd’hui c’est DoH + un service non menteur (comme celu ide la FDN) ?



Concernant le dernier paragraphe, un CHATON pourrait vraiment tenir la charge du nombre de requêtes faites par x milliers d’utilisateurs ?



&nbsp;

votre avatar

J’avoue que j’utilise DoH avec Cloudflare sur mon Pihole, mais bon, c’est toujours mieux que de ne pas utiliser DoH ^^,

votre avatar

Les Chatons répondent à une volonté de décentralisation, donc avec une armée sûrement

votre avatar

Ca ne répond pas à ma question. Les Chatons ce sont des serveurs personnels ou asosciatifs, donc ont-ils les ressources nécessaires pour encaisser une grosse charge ?

votre avatar







Jarodd a écrit :



Si je comprends bien, une des meilleures solution envisageables aujourd’hui c’est DoH + un service non menteur (comme celu ide la FDN) ?





&nbsp;Ou DoT. DoH n’est utile que si on est coincé derrière un pare-feu fasciste. Autrement, DoT est très bien. La plupart des résolveurs sécurisés ont les deux. (PUB : c’est le cas de doh.bortzmeyer.fr / dot.bortzmeyer.fr)


votre avatar







Jarodd a écrit :



Ca ne répond pas à ma question. Les Chatons ce sont des serveurs personnels ou asosciatifs, donc ont-ils les ressources nécessaires pour encaisser une grosse charge ?





Si, cela répondait à votre question : l’idée n’est pas d’avoir un énorme résolveur tenant la charge de millions d’utilisateurs, mais des milliers (« une armée »), chacun ne gérant qu’une partie des utilisateurs.


votre avatar

Donc il y aurait de la répartition de charge entre les membres de cette armée ?

Pour éviter que tout le monde utilise doh.framasoft.org, et personne les autres chatons et éviter ce qu’il s’est passé avec les framatalks mis à dispo, et surchargés par l’ÉdNum).

votre avatar

J’ai plus confiance dans mon FAI que dans CLoudflare.

votre avatar







Qruby a écrit :



J’ai plus confiance dans mon FAI que dans CLoudflare.





Si c’est FDN, je comprends.


votre avatar

Tiens c’est marrant, moi c’est plutôt l’inverse

votre avatar

Perso sur android, vu que l’on peut régler que le DoH (DNS privés) et pas les DNS, je met dns.adguard.com sur mes appareils ce qui permet de bloquer la plupart des pubs.

votre avatar

Je dirais que même américain, je fais plus confiance à cloudflare qui ne ment pas sur les résultats.

votre avatar







coco74 a écrit :



Perso sur android, vu que l’on peut régler que le DoH (DNS privés) et pas les DNS, je met dns.adguard.com sur mes appareils ce qui permet de bloquer la plupart des pubs.





À ma connaissance, Android ne parle que DoT, pas DoH.


votre avatar

Cloudflare ou « une armée de CHATONS », les 4 gros FAI ou des « barbus libristes », le problème est le même : si un tribunal ordonne de mettre en place un DNS menteur, refuser de le faire c’est prendre le risque de voir débarquer deux policiers/gendarmes et un OPJ qui embarquent ton matériel et te donnent rendez-vous au tribunal. Et là c’est pas drôle :/

votre avatar







Jarodd a écrit :



Donc il y aurait de la répartition de charge entre les membres de cette armée ?

Pour éviter que tout le monde utilise doh.framasoft.org, et personne les autres chatons et éviter ce qu’il s’est passé avec les framatalks mis à dispo, et surchargés par l’ÉdNum).



L’idée c’est justement que tout le monde n’utilise pas doh.framasoft.org. Framasoft est un exemple parmi plein d’autres. Si il y a des milliers de services similaires qui sont connues par quelques-uns alors le gros serveur n’est plus nécessaire. Mais ça reste un choix des utilisateurs.


votre avatar

SFR ?





Sinon, j’ai un résolveur DNS récursif en local (package DNS Server sur mon NAS Synology).

Dans ce cas les DoH et DoT entre mes ordi et mon serveur n’ont pas d’intérêt (si j’ai confiance dans les machines connectées à mon réseau ), non ?



Et qu’est-ce que je peux faire (enfin plutôt espérer) pour que mes requêtes soient chiffrées entre mon résolveur et le reste du monde ?

votre avatar

Le problème reste éternellement le même



Soit on a une architecture hiérarchisé comme aujourd’hui et sécuriser le conduit client-DNS ne sert pas à grand chose si rien ne change du coté des “possesseurs” de DNS. Si le FAI reçoit l’ordre ou décide de rendre une réponse menteuse c’est comme de pisser dans un violon.



Soit on opte pour un truc décentralisé et on y perdra fatalement en performance et peut-être plus en fonction des problématiques et des escrocs en tout genre qui tenteront d’en profiter.





&nbsp;

Mais ça c’est seulement la forme. Le fond c’est pourquoi un pauvre type va tenter d’aller la ou on lui dit que c’est pas bien ? Bin peut-être que c’est parce qu’il est tout simplement pauvre.



&nbsp;Une famille de 4 qui va au cinéma et le Smicar fait un infarctus. En fonction de l’endroit il va “débourser sa race”.

A paris: (12 euros x 4) + 2 friandises à 2,50… le billet de 50 s’est évanoui.

En province : (8 euros x 4) +2 friandises à 2,50… le billet de 50 survie mais bon, il fait la gueule.



&nbsp;Bref quelque soit la conjecture de la tuyauterie il reste que le nombre d’obstacle technique à franchir en vaut la chandelle. Le jour ou c’est l’inverse, le client ne se prendra pas la tête plus que cela.



A méditer.

&nbsp;

votre avatar

Arf, je suis passé à côté. Désolé.

DNS over HTTPS (DoH) : pour Stéphane Bortzmeyer, « le diable est dans les détails »

  • Ne pas voir DoH que par le prisme du choix de Cloudflare par Firefox

  • Une question de pression

  • DNS over HTTPS ne fait pas tout

Fermer