Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Firefox active par défaut DNS over HTTPS aux États-Unis

Firefox active par défaut DNS over HTTPS aux États-Unis

Le 26 février 2020 à 09h36

Chose promise, chose due. La fonction est en cours d’activation aux États-Unis. Le top départ a été donné hier soir, et le processus se poursuivra sur plusieurs semaines.

DoH permet pour rappel de chiffrer les données échangées entre l’appareil et le serveur DNS. Une opération permettant de limiter certains types d’attaques, comme les écoutes sur la connexion ou l’homme du milieu

Pour Mozilla, cette activation est une simple question de bon sens : l’architecture DNS est l’une des plus anciennes briques d’Internet et n’a jamais été pensée pour relever les défis de sécurité du monde actuel.

Si l’utilisateur ne touche à rien, le trafic DNS est orienté vers Cloudflare, défini comme partenaire par défaut. Un autre est disponible : NextDNS. Tous deux ont signé une charte les engageant à respecter des consignes strictes édictées par Mozilla. On peut bien sûr choisir son propre serveur, ou couper tout simplement la fonction.

Le mouvement a toutefois ses détracteurs. D’abord parce qu’il oriente les échanges DNS vers un acteur unique par défaut, avec les risques de SPOF (single point of failure) que l’on peut imaginer. Ensuite parce que DoH peut provoquer des problèmes.

Il s’était attiré les foudres d’experts en sécurité, entreprises et représentants nationaux, notamment parce qu’il empêche les solutions de contrôle parental de fonctionner, peut provoquer la pagaille dans les réseaux professionnels, n’empêche pas vraiment les fournisseurs d’accès de traquer la navigation et… peut aider les criminels. Un point courant dès que l’on parle de chiffrement.

Mozilla avait en partie préparé le terrain en annonçant que DoH serait automatiquement désactivé en cas de détection d’une solution de contrôle parental ou dans une configuration d’entreprise.

Rien pour l’instant n’a été annoncé pour le reste du monde, mais tout le monde peut aller activer manuellement la fonction dans les paramètres, car le support de DoH est présent depuis l’année dernière.

Le 26 février 2020 à 09h36

Commentaires (30)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Sauf que notre expert national ès DNS, Stéphane Bortzmeyer, a levé un drôle de lièvre, hier : il a révélé que les FAI (au moins aux États-Unis, donc ; mais les autres pourront en « bénéficier » aussi) avaient fait pression pour que Mozilla fasse en sorte que cette fonctionnalité DoH se désactive d’elle-même si… le domaine que Firefox va contacter pour vérifier que la fonctionnalité est bien active est déclaré par les résolveurs DNS des FAI comme n’existant pas (alors qu’il existe bien, en réalité). Bref, il suffirait que les FAI emploient des résolveurs menteurs réglés exprès pour bloquer l’accès à ce domaine de test pour que la fonctionnalité soit désactivée, et en tout cas rendue inopérante.



Vous le voyez venir, qu’ils vont tous le faire ? Après tout, pourquoi auraient-ils fait pression pour que Mozilla rende son système aussi vulnérable ?

votre avatar







Trit’ a écrit :



Sauf que notre expert national ès DNS, Stéphane Bortzmeyer, a levé un drôle de lièvre, hier : il a révélé que les FAI (au moins aux États-Unis, donc ; mais les autres pourront en « bénéficier » aussi) avaient fait pression pour que Mozilla fasse en sorte que cette fonctionnalité DoH se désactive d’elle-même si… le domaine que Firefox va contacter pour vérifier que la fonctionnalité est bien active est déclaré par les résolveurs DNS des FAI comme n’existant pas (alors qu’il existe bien, en réalité). Bref, il suffirait que les FAI emploient des résolveurs menteurs réglés exprès pour bloquer l’accès à ce domaine de test pour que la fonctionnalité soit désactivée, et en tout cas rendue inopérante.



Vous le voyez venir, qu’ils vont tous le faire ? Après tout, pourquoi auraient-ils fait pression pour que Mozilla rende son système aussi vulnérable ?





Pour moi ça ressemble plus à un manque de logique sur la détection (*).



Ce sera assez facile pour les experts déjà de voir que DoH est désactivé  (et ils lèveront l’alerte), ou de a son tour mentir (via un pihole ou un resolveur local).



Ce qui me gêne c’est que les gens vont arrêter d’utiliser les DNS de leurs FAI (c’est déjà le cas) mais pour se concentrer sur quelques DNS “connus” - 1.1.1.1 , 9.9.9.9 , 8.8.8.8 , ….

Mozilla pousse aussi cela en mettant les DNS de cloudflare en doh / défaut.



Ca risque fort de recentraliser le DNS et on risque de voir des pressions gouvernementales sur ces prestataires (censure, tracking) , et à terme (comme le mail) avoir des domaines qui ne sont connu QUE par google, cloudflare et IBM mais pas par les autres , ou des fonctionnalités en dehors des RFC.

On commence a voir ça avec le mail de google,







(*) On a parfois la même chose avec des applis qui font une résolution DNS pour savoir si ya du net, et il suffi d’un portail captif ou autre pour que ça déconne.


votre avatar

Du coup c’est bien ou pas ?

votre avatar

Comment détecteront-ils “une configuration d’entreprise” ? Parce que je vois le problème venir gros comme une maison avec les noms locaux, uniquement valides en interne… Va-t-il falloir le désactiver à la main chez chaque collaborateur ?

votre avatar

Mais heu… chaque FAI a ses DNS et a ses petites modifications qui fait que certains domaines ne sont pas connus alors que techniquement cela devrait être le cas.



Soit par demande du gouvernement et des lois correspondantes : révisionnisme, scam et j’en passe.

Soit par intérêt mutuel pour économiser la BP : site de P2P etc.



 Donc de la censure y’en a déjà.



 

votre avatar







Vekin a écrit :



Comment détecteront-ils “une configuration d’entreprise” ? Parce que je vois le problème venir gros comme une maison avec les noms locaux, uniquement valides en interne… Va-t-il falloir le désactiver à la main chez chaque collaborateur ?





« Salarié » ou « employé », mais pas « collaborateur » : point de lien avec le sens vichyste qu’il a fini par acquérir, mais ce terme présuppose une égalité hiérarchique entre le patron et ses employé, alors que n’est pas du tout le cas : le patron étant par définition le supérieur ultime, il n’a pas de collaborateurs, mais uniquement des subordonnés, ou des partenaires.


votre avatar

Sauf que je ne suis pas le patron, donc ce sont bien mes collaborateurs, au sens “moderne” du terme <img data-src=" />

votre avatar







Trit’ a écrit :



Sauf que notre expert national ès DNS, Stéphane Bortzmeyer, a levé un drôle de lièvre, hier : il a révélé que les FAI (au moins aux États-Unis, donc ; mais les autres pourront en « bénéficier » aussi) avaient fait pression pour que Mozilla fasse en sorte que cette fonctionnalité DoH se désactive d’elle-même si… le domaine que Firefox va contacter pour vérifier que la fonctionnalité est bien active est déclaré par les résolveurs DNS des FAI comme n’existant pas (alors qu’il existe bien, en réalité). Bref, il suffirait que les FAI emploient des résolveurs menteurs réglés exprès pour bloquer l’accès à ce domaine de test pour que la fonctionnalité soit désactivée, et en tout cas rendue inopérante.



Vous le voyez venir, qu’ils vont tous le faire ? Après tout, pourquoi auraient-ils fait pression pour que Mozilla rende son système aussi vulnérable ?







Ben faut jamais utiliser les DNS du FAI.<img data-src=" />


votre avatar







TexMex a écrit :



Mais heu… chaque FAI a ses DNS et a ses petites modifications qui fait que certains domaines ne sont pas connus alors que techniquement cela devrait être le cas.



&nbsp;

Tu parles des domaines techniques style mafreebox.free.fr ?

Pour moi , ça , ça porte pas à conséquence - à titre perso j’ai aussi chez moi des domaines perso.

&nbsp;

Le problème est quand tu modifie le domaine des autres sans qu’ils l’approuvent : TBP, légaux, …

(La censure DNS pour économiser de la BP , il me semble que c’est un peu fini aujourdhui)



C’est à mon avis pourquoi il est important de garder le choix du DNS qu’on va utiliser.



&nbsp;Une personne très légaliste peux parfaitement décider de respecter la loi et imposer le DNS de son FAI afin d’être volontairement soumis aux décisions légales de son pays (et , demain, aux restrictions lié au porn qui vont probablement arriver rapidement).



L’important à mon avis c’est que les gens qui , en toute conscience ne VEULENT PAS être soumis à ces restrictions (et en endossent la responsabilité - en dégageant celle de leur FAI) puisse le faire volontairement.



C’est ce qui me gêne un peu dans le comportement de mozilla, ils imposent le 2nd choix sans réellement laisser l’utilisateur décider. Ca se comprends dans le contexte US où les FAI utilisent le DNS pour espionner, tracker, et modifier les réponses (car la FCC de trump les y a incité) mais ça reste à mon sens imposer un changement fonctionnel qui mériterais d’être éclairé.

&nbsp;

&nbsp;


votre avatar







Vekin a écrit :



Sauf que je ne suis pas le patron, donc ce sont bien mes collaborateurs, au sens “moderne” du terme <img data-src=" />





Donc, ça ne concerne pas les machines de tes supérieurs ? <img data-src=" />



Plus sérieusement, si ton résolveur (local) ne supporte pas DoH, ben le navigateur ne l’active pas. C’est totalement transparent pour l’utilisateur.<img data-src=" />


votre avatar

Il n’y a pas besoin des FAI pour ça, Firefox fallback en DNS standard quand les requêtes DoH ne fonctionnent pas. Ça m’était arrivé par exemple quand je me suis planté dans ma config DoH avec Quad9: comme rien ne fonctionnait avec DoH, tout le traffic DNS passait par du DNS standard suivant la configuration de mon OS. J’ai mis un mois ou 2 à m’en rendre compte, vu que ça avait l’air de fonctionner.

votre avatar







OB a écrit :



Une personne très légaliste peux parfaitement décider de respecter la loi et imposer le DNS de son FAI afin d’être volontairement soumis aux décisions légales de son pays







Pardon ? Je n’utilise JAMAIS les DNS de mon FAI et je respecte pleinement la loi, tant qu’elle ne m’interdira pas de le faire. La loi impose à mon FAI de bloquer tel ou tel site sur décision de justice via le DNS, elle ne m’inpose pas à moi de le faire.


votre avatar







Vekin a écrit :



Comment détecteront-ils “une configuration d’entreprise” ? Parce que je vois le problème venir gros comme une maison avec les noms locaux, uniquement valides en interne… Va-t-il falloir le désactiver à la main chez chaque collaborateur ?





Trit’ a donné la réponse (enfin un lien vers la réponse)



Il suffit de bloquer&nbsp;&nbsp;use-application-dns.net&nbsp; et le DoH se désactive


votre avatar

Ah si si, je me suis fait avoir, mince <img data-src=" />



D’accord, ça me rassure alors, merci !

votre avatar







seboquoi a écrit :



Du coup c’est bien ou pas ?





J’ai pas bien compris non plus <img data-src=" />


votre avatar







Jarodd a écrit :



J’ai pas bien compris non plus <img data-src=" />





c’est perfectible on va dire :




  • d’un côté c’est une couche de sécurité en plus (bien)

  • de l’autre ça emmerde les soft de contrôle parental et ça fait chier en entreprise (pas bien)

  • d’un troisième côté, Mozilla ne se repose que sur un tiers et non plusieurs, ce qui peut poser problème si ledit tiers a un problème (d’après des com précédents, ce serait un faux problème, au sens où si ça foire il demande en dns normal à quelqu’un d’autre)



    Donc “bien” si la sécurité est votre priorité, à discuter dans les autres cas.


votre avatar

<img data-src=" />



&nbsp;Pour le SPOF, peut-être qu’un seul acteur c’est temporaire, et qu’ils en ajouteront plus tard ? (avec un par défaut et un choix dans les paramètres)

votre avatar

Il existe déjà d’autres fournisseurs.



Après la sécurité reste partielle.

Il existe le ESNI sensé chiffrer le nom et l’adresse du serveur lors du handshake mais reste que l’IP du serveur visité par le client n’est pas systématiquement diluée par l’hébergeur…



C’est en revanche nettement plus difficile de rediriger le client vers une page dupliquée même si ce n’est pas explicitement l’objet du DoH.

votre avatar

Ok merci pour tes prévisions.

Bon ceci dit je suis sous Brave donc je risque pas de l’avoir de suite. <img data-src=" />

votre avatar

Pour moi le SPOF est un problème majeur ici.

Déjà que FF ne va pas très bien, mais j’imagine parfaitement l’impact en cas de problème coudFlare.



“Ha ça marche pas avec Firefox ? Bah prend Chrome, Firefox c’est d’la merde.”



:( :(

votre avatar



DoH permet pour rappel de chiffrer les données échangées entre l’appareil et le serveur DNS



<img data-src=" />&nbsp; résolveur DNS



Mozilla joue sa carte protecteur de la vie privée mais c’est un peu maladroit.

Si les FAI ont réussi leur lobbying pour pouvoir le désactiver, c’est pas cool.

Les FAI ont vraiment eu peur d’un navigateur qui a 5% de pdm ? <img data-src=" />

votre avatar







gg40 a écrit :



Pour moi le SPOF est un problème majeur ici.

Déjà que FF ne va pas très bien, mais j’imagine parfaitement l’impact en cas de problème coudFlare.



“Ha ça marche pas avec Firefox ? Bah prend Chrome, Firefox c’est d’la merde.”



:( :(





Ca a déjà été dit que quand le DoH ne fonctionne pas, ça fallback en DNS classique, l’utilisateur ne verra rien.


votre avatar







Ricard a écrit :



Pardon ? Je n’utilise JAMAIS les DNS de mon FAI et je respecte pleinement la loi, tant qu’elle ne m’interdira pas de le faire. La loi impose à mon FAI de bloquer tel ou tel site sur décision de justice via le DNS, elle ne m’inpose pas à moi de le faire.







Bin et du coup, lequel est le meilleur alors (enfin le moins menteur, le plus neutre <img data-src=" />) et suffisamment rapide pour la résolution de nom ? Ovh ? Opendns ?


votre avatar







Ramaloke a écrit :



Ca a déjà été dit que quand le DoH ne fonctionne pas, ça fallback en DNS classique, l’utilisateur ne verra rien.





oui c’est vrai <img data-src=" />


votre avatar







empty a écrit :



<img data-src=" />  résolveur DNS



Mozilla joue sa carte protecteur de la vie privée mais c’est un peu maladroit.

Si les FAI ont réussi leur lobbying pour pouvoir le désactiver, c’est pas cool.

Les FAI ont vraiment eu peur d’un navigateur qui a 5% de pdm ? <img data-src=" />



Ils ont surtout peur que ca fasse des petits <img data-src=" />


votre avatar

Pour info le domaine use-application-dns.net qui sert à savoir si le DoH est utilisable est déjà bloqué sur le DNS d’Orange :

host use-application-dns.net

Host use-application-dns.net not found: 3(NXDOMAIN)



Après pour les intéressés par le DoH si vous configurez expressément Firefox pour utiliser DoH il devrait l’utiliser quel qu’en soit l’état de ce domaine.

votre avatar

Google est neutre. Mais comme d’autres tout autant intercepté par des FAI (transparent proxy).









empty a écrit :



Mozilla joue sa carte protecteur de la vie privée mais c’est un peu maladroit.







Cela évite l’usurpation de requête comme indiqué plus haut, c’est déjà bien qu’un tel service visant à colmater les défauts de l’internet existe. <img data-src=" />





votre avatar

Pour ceux que ça intéressent, on peut héberger un DoH soit même (faut « juste » du HTTPS) :github.com GitHub

votre avatar

Celui que tu contrôle :)



Tu perds un tout petit peu en perf (si tu es à 50ms près).



Et faire mentir un résolveur, quand on le contrôle, c’est intéressant : ça permet de bloquer la pub et les traqueurs à la racine (ohoh) et de servir tous le réseau local

votre avatar

Exact.



C’est pareil avec les noms de domaine locaux genre .lan Quand la résolution DoH échoue ça passe par une requête DNS classique.









RaphAstronome a écrit :



Pour info le domaine use-application-dns.net qui sert à savoir si le DoH est utilisable est déjà bloqué sur le DNS d’Orange :

host use-application-dns.net

Host use-application-dns.net not found: 3(NXDOMAIN)



Après pour les intéressés par le DoH si vous configurez expressément Firefox pour utiliser DoH il devrait l’utiliser quel qu’en soit l’état de ce domaine.









Pas forcément. Si on bloque l’adresse cloudflare : mozilla.cloudflare-dns.com ça ne marchera pas dans tous les cas… Testé chez moi avec succès.


Firefox active par défaut DNS over HTTPS aux États-Unis

Fermer