Publié dans Logiciel

59

Firefox : premières activations du protocole DNS-over-HTTPS dans le mois

Firefox : premières activations du protocole DNS-over-HTTPS dans le mois

Mozilla teste ce protocole depuis 2017 et en a introduit le support dans Firefox 60, il y a plus d’un an. Désormais, l’éditeur est prêt à passer à la phase suivante.

DNS-over-HTTPS (DoH) est pour rappel une méthode de protection pour la résolution DNS qui, par défaut, n’est pas chiffrée ou protégée des regards. DoH ne chiffre pas les requêtes, mais les cache en les déguisant en trafic HTTPS classique. Ces requêtes peuvent être chiffrées, mais c’est le travail d’un autre protocole, DNS-over-TLS (DoT).

Mozilla va donc activer le protocole chez un petit nombre d’utilisateurs aux États-Unis dans le courant du mois. Si le test se passe bien, le déploiement continuera, très progressivement. L’utilisation du DoH n’est pas en effet sans poser problème.

Les serveurs DNS doivent en effet être compatibles, et Mozilla a décidé de passer par les résolveurs de Cloudflare pour s’occuper de ces opérations. Il s’agit de la configuration par défaut, mais l’utilisateur est libre de modifier ce paramètre.

De fait, la gestion du DNS est transférée du système d’exploitation au navigateur, créant une problématique inédite : les services de sécurité basés sur l’analyse DNS ne peuvent plus fonctionner. Inédite parce que la conséquence n’est plus le fruit de l’installation volontaire d’un produit spécifique comme un VPN, mais d’une configuration par défaut dans un logiciel grand public.

De nombreux produits deviennent inopérants avec DoH : les filtres DNS en entreprise, les outils de contrôle parental, une partie des fonctions des antivirus, les pare-feux et ainsi de suite.

La bascule fait tellement peur qu’elle avait poussé en juillet l’Internet Services Providers Association (ISPAUK) au Royaume-Uni à ranger Mozilla dans la catégorie des « méchants d’Internet ». Raison principale invoquée : l’impossibilité de lutter contre la pédopornographie.

En juillet également, le monde découvrait le premier malware à se servir de DoH pour ses propres sales besognes, cachant d’autant mieux son activité.

Mozilla est au courant de ces problèmes et travaille déjà sur des solutions. Par exemple, désactiver DoH quand une solution de contrôle parental est détectée. Mozilla propose également aux fournisseurs d'accès qui le souhaiteraient d'ajouter son domaine « canary » à leur liste de blocage. DoH serait alors coupé en cas de détection d'un blocage du domaine.

Mais même si Firefox s’est attiré en premier les foudres d’un certain nombre d’acteurs, le phénomène n'est pas prêt de disparaître : Chrome va faire de même avec sa version 78 le mois prochain, là encore pour un très petit nombre d’utilisateurs. Les compromis ne font que commencer.

59

Tiens, en parlant de ça :

Pilule rouge et bleue avec des messages codés

Europol milite pour un chiffrement de bout en bout « flexible »

Here we go again

17:00 Sécu 10
Collectif La Barbe

Inclusion dans la tech : critiqué, le CEO de Qovery menace une internaute de poursuites

Re:Qovery

14:49 Société 17
La Section 702 de la loi sur la surveillance du renseignement étranger (Foreign Intelligence Surveillance Act – FISA)

L’extension des prestataires américains devant collaborer avec la NSA fait polémique

All your base are belong to US

12:25 DroitSécu 10
59

Fermer

Commentaires (59)


Cette dépendance de Firefox envers Cloudflare m’inquiète de plus en plus : d’abord ça, puis le VPN intégré… Mozilla s’érige en chantre de la protection de la vie privée mais utilise un service américain propriétaire et décrié comme étant un SPoF trop présent sur Internet ? <img data-src=" />




DNS-over-HTTPS (DoH) est pour rappel une méthode de protection pour la résolution DNS qui, par défaut, n’est pas chiffrée ou protégée des regards. DoH ne chiffre pas les requêtes, mais les cache en les déguisant en trafic HTTPS classique. Ces requêtes peuvent être chiffrées, mais c’est le travail d’un autre protocole, DNS-over-TLS (DoT).





Heu.. DNS-over-HTTPS c’est du DNS encapsulé dans du HTTPS, donc c’est chiffré.

Non?



Requêtes et réponses, au lieu de voyager directement sur UDP ou TCP sont encapsulées dans HTTP, plus exactement HTTPS


Pour une liste de serveurs autre que américains :https://github.com/curl/curl/wiki/DNS-over-HTTPS



Mozilla laisse toujours l’option de mettre un autre serveur c’est déjà ça. Peut être qu’ils vont ajouter une option dans le futur.


HTTPS ne signifie pas obligatoirement qu’un chiffrement est appliqué mais donne une preuve de l’identité du serveur avec lequel le client échange. Le chiffrement est en option mais appliqué dans la majorité des cas.


Merci pour le lien !



Même si c’est configurable, il n’empêche que la majorité des utilisateurs lambda ne feront jamais ce changement, donc les problématiques de vie privée et de fiabilité se posent tout de même à mon sens.


&gt; Les FAI pourraient en outre fournir une liste de domaines bloqués, pour lesquels Firefox couperait automatiquement sa protection





Pardon ? Bonjour la neutralité… :(

Entre ça et les questions de “faut-il inclure” tel ou tel certificat racine, Mozilla marche sur des œufs récemment.


Effectivement, cet article découvert via hackernews parle de cette centralisation : https://ungleich.ch/en-us/cms/blog/2019/09/11/turn-off-doh-firefox/


Perso j’utilise les DoH dans Firefox depuis quelques mois (ceux de Quad9), aucun problème à déplorer jusque-là.


Ils by-passent entièrement le /etc/resolv.conf ? Ça revient à se tirer une balle dans le pied pour tout usage en entreprise, puisque ça désactive le VPN et ça ne peut pas accéder aux applications web sur les serveurs privés.

Ça sent le rétropédalage très prochainement.


Je suis très dubitatif sur cette fonctionnalité… Autant je vois l’intérêt du protocole pour la vie privée mais autant son implémentation actuelle et les effets de bords qu’il apporte me paraissent donner un ratio bénéfice/risque très peu favorable.



Je pense que je le désactiverai au départ tout du moins…








la news a écrit :



De nombreux produits&nbsp;deviennent inopérants avec DoH : les filtres DNS en

entreprise, les outils de contrôle parental, une partie des fonctions

des antivirus, les pare-feux et ainsi de suite.





Il suffit d’avoir des équipements DPI-SSL. C’est très efficace.

Les autres entreprises banniront Firefox s’ils n’arrivent pas à forcer un réglage différent.









Perfect Slayer a écrit :



&gt;Entre ça et les questions de “faut-il inclure” tel ou tel certificat racine, Mozilla marche sur des œufs récemment.





Le choix des certificats racines à inclure, tous doivent le faire. Il n’y a pas de base “normalisée” ou de choix par défaut.



À noter que l’interception SSL/TLS pose déjà plusieurs problématiques peu connues.


Pourquoi ne pas faire évoluer DNS à la place ? Avec soit du chiffrement soit du brouillage de piste (ex: 3 réponses pour 1 requête). Même si cela réclame plus de ressource. Enfin pas tant que cela non plus.



J’ajoute que les trucs “dark” ne figurent pas dans les DNS publics grâce à la “bienveillance” des admins et/ou des gouvernement. Chacun ayant une opinion sur le mot bienveillance. Donc voila…

&nbsp;

&nbsp;



&nbsp;


Pour une communication HTTPS sans chiffrement :




  • on est certain de l’identité du serveur original

  • les données peuvent être altérées par un tiers sans que ce soit perceptible

    C’est bien ca?



    Tu as des cas d’utilisation de ce “système” ?


Ou comment, en une mise à jour, faire tomber à l’eau tous les blocages DNS ordonnés par la justice française :)








TexMex a écrit :



J’ajoute que les trucs “dark” ne figurent pas dans les DNS publics grâce à la “bienveillance” des admins et/ou des gouvernement. Chacun ayant une opinion sur le mot bienveillance. Donc voila…





<img data-src=" /> C’est un peut pour ça que le “dark” existe aussi : Ne pas être à la vue de tout le monde. <img data-src=" />









Brouck a écrit :



Ou comment, en une mise à jour, faire tomber à l’eau tous les blocages DNS ordonnés par la justice française :)





<img data-src=" />

Mozilla est au courant de ces problèmes et travaille déjà sur des solutions. Par exemple, désactiver DoH quand une solution de contrôle parental est détectée. Les FAI pourraient en outre fournir une liste de domaines bloqués, pour lesquels Firefox couperait automatiquement sa protection, ne permettant alors plus de court-circuiter ledit blocage.



Faut lire jusqu’au bout. <img data-src=" />









marba a écrit :



Pour une liste de serveurs autre que américains :https://github.com/curl/curl/wiki/DNS-over-HTTPS



Mozilla laisse toujours l’option de mettre un autre serveur c’est déjà ça. Peut être qu’ils vont ajouter une option dans le futur.





Excuse moi, mais, dans le champ je mets 9.9.9.9 ou le lien tout courthttps://dns.quad9.net/dns-query &nbsp; ?

je comprends pas en fait

et comment savoir que mon Doh fonctionne en dehors de ceux de 1.1.1.1

un test rapide de ‘9.9.9.9’ dans le site de cloudflare me dit que ça fonctionne pas avec Quad9

merci de ta réponse <img data-src=" />









choukky a écrit :



<img data-src=" />

Mozilla est au courant de ces problèmes et travaille déjà sur des solutions. Par exemple, désactiver DoH quand une solution de contrôle parental est détectée. Les FAI pourraient en outre fournir une liste de domaines bloqués, pour lesquels Firefox couperait automatiquement sa protection, ne permettant alors plus de court-circuiter ledit blocage.



Faut lire jusqu’au bout. <img data-src=" />





En effet ! Mais j’ai du mal à voir comment ils vont mettre ça en place. À part peut-être déterminer ton FAI en se basant sur ton IP puis appliquer la liste correspondante ?



C’est configurable pour ceux qui savent que c’est là.

Mais pour le péquin moyen qui n’arrivera plus à accéder à mafreebox.freebox.fr et ne comprendra pas d’où ça vient, ça restera un mystère.



Le DNS, c’est une fonction de l’OS, configurée dans l’OS. Ça n’a rien à faire dans un navigateur.


je pense que le “qui n’est pas chiffrée” s’applique à la résolution DNS, pas au DNS-Over-HTTPS


J’espère que Chrome avancera vite sur son implémentation. Si seul Firefox le propose, il risque de se faire bannir, notamment en entreprise, ce qui ne sera pas un gros problème vu ses parts de marché. Par contre c’est plus difficile pour Chrome, les admins devront faire avec.


Je vois cette fonction comme une phase de l’expérimentation, logique vu la sensibilité de la fonction DNS.

Par suite, j’espère que Mozilla va rendre la chose plus accessible au grand public et proposer plusieurs fournisseurs comme cela existe pour kes moteurs de recherche.


Ben non, le “chiffrement” de la résolution DNS ( ie : être sûr les données sont les bonnes ) est prévu par DNSSEC.



DNS-over-TLS permet de faire du DNS sur un canal TCP chiffré

DNS-over-HTTPS permet de faire du DNS sur un canal HTTPS ( donc HTTP chiffré )



Je me trompe quelque part ?


Les entreprises peuvent paramétrer Firefox tant qu’elles veulent, et enlever cette option, donc le problème n’est vraiment pas les entreprises.



Ça va faire chier les FAI et les gouvernements oui.


&gt; HTTPS ne signifie pas obligatoirement qu’un chiffrement est appliqué mais donne une preuve de l’identité du serveur avec lequel le client échange. Le chiffrement est en option mais appliqué dans la majorité des cas.



&nbsp;Avec HTTPS, la connexion est toujours chiffrée. Ou alors il faudra me dire comment tu protèges tes payements sur internet…



&nbsp;Ce qui est dit là c'est que DoH ne chiffre pas le contenu donc pas de chiffrement en plus de celui déjà proposé HTTPS.

Non, DNSSEC ne chiffre rien du tout. Cela permet de signer numériquement les entrées DNS et donc s’assurer qu’elles n’ont pas été altérées en court de route. Les données restent toujours en claire.C’est le protocole DoT qui permet le chiffrement.


Les GPO pour Firefox supportent la gestion de cette fonctionnalité :

https://github.com/mozilla/policy-templates/blob/v1.9_release/README.md#dnsoverh…



Pour ta remarque sur Chrome je ne comprend pas trop : rien n’empêche les admins de bloquer Chrome autant que Firefox. D’ailleurs Chrome devrait être bloqué par défaut en entreprise <img data-src=" />


Je suis d’accord avec la dernière partie de ton message <img data-src=" />



Je voulais dire que si on ne veut pas faire l’effort de paramétrage, il est plus facile de bloquer un navigateur avec ~5% de parts de marché (et probablement moins en entreprise) que celui qui a 60 ou 70%, les conséquences ne sont pas les mêmes. Aux utilisateurs qui premier, on dira “z’avez qu’à changer”, à ceux du second, c’est plus compliqué (mais certes pas impossible).


L’informatique doit être une dictature ( <img data-src=" /> ) et puis Edge fonctionne bien (double <img data-src=" /> )


Oui, c’est pour ca que je précise “être sûr les données sont les bonnes”.

Le terme signer est beaucoup plus clair, mais ca passe par du chiffrement via cle publique/clef privée non?



C’est DoT qui permet le chiffrement oui. Mais DoH aussi non?

Ca existe du DoH non chiffré?


tu me parles de technique et moi je te parle de rédaction en français ^^



La proposition relative “qui, par défaut, n’est pas chiffrée ou protégée des regards” s’applique au nom “la résolution DNS”, c’est tout ce que je voulais dire.



Sur le côté technique, je te fais confiance : tu en sais très probablement beaucoup plus que moi <img data-src=" />


Après c’est pas dit qu’ils l’activent dans Firefox ESR qui est la version de Firefox adaptée aux entreprises


Clairement! La résolution de nom, ça se fait au niveau de l’OS!



Pour les intéressés sur l’avancée en la matière, hors firefox: DNS Privacy Project


“en a introduit le support dans Firefox 60”

j’ai sur mon poste Ffx 60.9.0esr


Sauf que les OS dominants n’ont pas l’air d’avoir la privacy comme motivation première, et Firefox n’est pas un OS.



Je trouve ça très bien au contraire que Mozilla développe une solution, sinon ça ne bougerait pas.








dematbreizh a écrit :



“en a introduit le support dans Firefox 60”

j’ai sur mon poste Ffx 60.9.0esr







support ≠ activé par défaut



Les ESR n’ont pas de mise à jour fonctionnelles, seulement correction de bug/failles. C’est le principe.



J’aimerais bien voir des stats pour savoir combien d’entreprises utilisens la version ESR, ou la release publique.


En même temps, les entreprises vont pas se plaindre d’utiliser un soft en rolling release alors qu’il y a une version stable avec support long terme qui leur est proposé.


Il n’y a pas que les entreprises, il y a aussi la mamie du Cantal qui veut accéder à sa freebox ou à son imprimante réseau en utilisant un hostname d’une machine sur le réseau privé.



Un navigateur, ça ne sert pas qu’à aller sur des choses qui sont sur le réseau public.



En plus, comment dire… Cloudflare, quoi ! J’imagine qu’il doit y avoir un partenariat et que Cloudflare finance la fondation Mozilla pour avoir le droit d’être choisi comme DNS par défaut et bypasser le DNS de l’OS. Un peu comme les DNS menteurs, à l’époque.








WereWindle a écrit :



La proposition relative “qui, par défaut, n’est pas chiffrée ou protégée des regards” s’applique au nom “la résolution DNS”, c’est tout ce que je voulais dire.







<img data-src=" /> ha bah oui lu comme ca, c’est pas faux <img data-src=" />



La solution serait peut être d’utiliser des tld approprié comme « .local » non ?



Je pense pas que firefox utilise Dns over Https (et donc cloudflare) pour faire les requêtes sur un .local.


C’est le principe des attaques par déclassement (Downgrade attack).

HTTPS ne définit pas un chiffrement à utiliser. Cela résulte d’une négociation entre le client et le serveur.

Donc tu peux avoir un chiffrement affaibli voir faible ou aucun chiffrement du tout (ce qui est aussi un des choix de cette négociation) lors d’une connexion HTTPS.








alex.d. a écrit :



C’est configurable pour ceux qui savent que c’est là.

Mais pour le péquin moyen qui n’arrivera plus à accéder à mafreebox.freebox.fr et ne comprendra pas d’où ça vient, ça restera un mystère.



Le DNS, c’est une fonction de l’OS, configurée dans l’OS. Ça n’a rien à faire dans un navigateur.





mafreebox.freebox.fr c’est 212.27.38.253, une IP traitée spécialement par les Freebox. Donc ça fonctionne avec n’importe quel DNS.



Sinon d’une manière générale, avec la configuration par défaut, il interroge le DNS système en cas d’échec de résolution par le DoH.









hwti a écrit :



Sinon d’une manière générale, avec la configuration par défaut, il interroge le DNS système en cas d’échec de résolution par le DoH.





Même mieux, avant d’activer DoH firefox demande au serveur DNS du système s’il peut utiliser DoH.

Il fait cela vec la requête DNS&nbsp; use-application-dns.netsi la réponse est NXDOMAIN (paramétré par le sysadmin qui souhaite rester maitre des DNS) alors firefox n’utilise pas DoH sur ce réseau.



Juste une remarque.

Les entreprises de taille suffisante pour avoir une DSI ont généralement un proxy lisant les flux HTTPS. Via l’inclusion de certificat intermédiaire du proxy pour que ce soit transparent sur le pc utilisateur.



Donc ça ne sera pas parfait non plus et tout autant vulnérable sur les réseaux un peu truands.



Sinon concernant chrome en entreprise, perso je l’ai vu devenir rapidement le dominant chez les différentes boîtes que je côtoie. Surtout quand les SI externalisent auprès de Google Apps for business ou encore Office 365.


C’est une fonctionnalité minimale d’un OS certes. Mais je ne vois pas de contraintes à ce qu’à navigateur propose mieux. Surtout quand les navigateurs progressent bien plus vite en terme de fonctionnalités (utilisateurs) qu’un OS.








marba a écrit :



La solution serait peut être d’utiliser des tld approprié comme « .local » non ?



Je pense pas que firefox utilise Dns over Https (et donc cloudflare) pour faire les requêtes sur un .local.





Les entrées locales n’ont pas de tld, c’est juste le hostname. Ou chez moi, j’ai un sous-domaine privé d’un domaine public, que le DoH ne risque pas de voir… J’ai ça aussi au boulot, d’ailleurs.









Vekin a écrit :



À noter que l’interception SSL/TLS pose déjà plusieurs problématiques peu connues.





Si ton module DPI-SSL est correctement configuré, il reproduit le certificat source à l’identique (hormis les clefs).

Après, c’est sûr qu’avec un logiciel mal configuré / sur du matos au rabais, ben les mecs pinent la sécurité pour avoir de la performance….

&nbsp;









sephirostoy a écrit :



C’est une fonctionnalité minimale d’un OS certes. Mais je ne vois pas de contraintes à ce qu’à navigateur propose mieux. Surtout quand les navigateurs progressent bien plus vite en terme de fonctionnalités (utilisateurs) qu’un OS.





Le navigateur ne propose pas “mieux” : il détourne ton DNS de celui que tu as configuré et en qui tu as confiance pour utiliser à la place et en douce celui de Cloudflare. Il by-passe ta config locale, tes hostnames locaux, ton filtrage, ton choix de DNS français, libre, non-menteur et non-pollué, pour à la place prendre un truc sans ta config locale, américain, et commercial.

Merci Mozilla, c’est tout-à-fait l’esprit du logiciel libre.

&nbsp;









hwti a écrit :



mafreebox.freebox.fr c’est 212.27.38.253, une IP traitée spécialement par les Freebox. Donc ça fonctionne avec n’importe quel DNS.



Bah non, puisque ta freebox ne verra plus passer la requête DNS.

&nbsp;



mafreebox.freebox.fr est résolu en 212.27.38.253 sur n’importe quel DNS.

Cette IP spéciale est redirigée en local par la Freebox au lieu de partir sur internet, peu importe comment elle a été obtenue. L’action se fait donc au niveau du routage, pas du DNS.



Le seul cas où il y aurait besoin d’utiliser le DNS de la Freebox, c’est si l’IP retournée était celle du LAN (192.168.1.1 par exemple), or ce n’est pas le cas.








Perfect Slayer a écrit :



Donc tu peux avoir un chiffrement affaibli voir faible ou aucun chiffrement du tout (ce qui est aussi un des choix de cette négociation) lors d’une connexion HTTPS.





Je ne vois pas dans la RFC concernant TLS ou HTTPS de cas où on peut négocier un non chiffrement. Tu as un cas concret ?





il détourne ton DNS de celui que tu as configuré



Il n’y a que les utilisateurs avertis qui configurent leur propre DNS avec leurs propres filtres, ces mêmes personnes sauront comment désactiver cet option dans Firefox.



Quand à CloudFlare, ce n’est que pour le marché US, Mozilla recherche des partenaires en Europe et ailleurs. C’est pour ça que l’option n’est testé qu’aux US pour le moment.



Et je n’ai aucun doute sur le fait que quand Mozilla proposera l’option à tous, il y a aura une interface dédié expliquant les tenants et aboutissants de manière suffisamment clair pour qu’un néophyte puisse comprendre, comme ils l’ont fait avec la navigation privée.

Et que l’on pourra activer ou non cette option et configurer le serveur DNS.








sephirostoy a écrit :



Il n’y a que les utilisateurs avertis qui configurent leur propre DNS avec leurs propres filtres, ces mêmes personnes sauront comment désactiver cet option dans Firefox.



Ce n’est pas forcément la même personne. Il y a plus d’utilisateurs que de sysadmins. Il ne faut pas croire qu’une simple config propagée par la DSI suffira : il y a de plus en plus de BYOD, les DSI perdent le contrôle sur les terminaux. Et même à la maison, j’ai la main sur mon DNS, mais j’ai 5 utilisateurs qui n’y entravent que dalle à ce qu’est un DNS (et vont me gueuler dessus quand ça ne marchera plus).

Bon, j’ai déjà ajouté une entrée NXDOMAIN pour&nbsp;use-application-dns.net, histoire d’être future-proof&nbsp;<img data-src=" />

&nbsp;



Fork / patch =&gt; pas de liste








psn00ps a écrit :



Fork / patch =&gt; pas de liste





<img data-src=" /> Exact dans le cas d’un patch/mise à jour diffusée par Mozilla. J’aurais du lire les propos de Brouck avec plus d’attention. <img data-src=" />

Le fork, par contre n’implique pas la responsabilité de Mozilla. <img data-src=" />