Mozilla teste ce protocole depuis 2017 et en a introduit le support dans Firefox 60, il y a plus d’un an. Désormais, l’éditeur est prêt à passer à la phase suivante.
DNS-over-HTTPS (DoH) est pour rappel une méthode de protection pour la résolution DNS qui, par défaut, n’est pas chiffrée ou protégée des regards. DoH ne chiffre pas les requêtes, mais les cache en les déguisant en trafic HTTPS classique. Ces requêtes peuvent être chiffrées, mais c’est le travail d’un autre protocole, DNS-over-TLS (DoT).
Mozilla va donc activer le protocole chez un petit nombre d’utilisateurs aux États-Unis dans le courant du mois. Si le test se passe bien, le déploiement continuera, très progressivement. L’utilisation du DoH n’est pas en effet sans poser problème.
Les serveurs DNS doivent en effet être compatibles, et Mozilla a décidé de passer par les résolveurs de Cloudflare pour s’occuper de ces opérations. Il s’agit de la configuration par défaut, mais l’utilisateur est libre de modifier ce paramètre.
De fait, la gestion du DNS est transférée du système d’exploitation au navigateur, créant une problématique inédite : les services de sécurité basés sur l’analyse DNS ne peuvent plus fonctionner. Inédite parce que la conséquence n’est plus le fruit de l’installation volontaire d’un produit spécifique comme un VPN, mais d’une configuration par défaut dans un logiciel grand public.
De nombreux produits deviennent inopérants avec DoH : les filtres DNS en entreprise, les outils de contrôle parental, une partie des fonctions des antivirus, les pare-feux et ainsi de suite.
La bascule fait tellement peur qu’elle avait poussé en juillet l’Internet Services Providers Association (ISPAUK) au Royaume-Uni à ranger Mozilla dans la catégorie des « méchants d’Internet ». Raison principale invoquée : l’impossibilité de lutter contre la pédopornographie.
En juillet également, le monde découvrait le premier malware à se servir de DoH pour ses propres sales besognes, cachant d’autant mieux son activité.
Mozilla est au courant de ces problèmes et travaille déjà sur des solutions. Par exemple, désactiver DoH quand une solution de contrôle parental est détectée. Mozilla propose également aux fournisseurs d'accès qui le souhaiteraient d'ajouter son domaine « canary » à leur liste de blocage. DoH serait alors coupé en cas de détection d'un blocage du domaine.
Mais même si Firefox s’est attiré en premier les foudres d’un certain nombre d’acteurs, le phénomène n'est pas prêt de disparaître : Chrome va faire de même avec sa version 78 le mois prochain, là encore pour un très petit nombre d’utilisateurs. Les compromis ne font que commencer.
Commentaires (59)
#1
Cette dépendance de Firefox envers Cloudflare m’inquiète de plus en plus : d’abord ça, puis le VPN intégré… Mozilla s’érige en chantre de la protection de la vie privée mais utilise un service américain propriétaire et décrié comme étant un SPoF trop présent sur Internet ?
" />
#2
DNS-over-HTTPS (DoH) est pour rappel une méthode de protection pour la résolution DNS qui, par défaut, n’est pas chiffrée ou protégée des regards. DoH ne chiffre pas les requêtes, mais les cache en les déguisant en trafic HTTPS classique. Ces requêtes peuvent être chiffrées, mais c’est le travail d’un autre protocole, DNS-over-TLS (DoT).
Heu.. DNS-over-HTTPS c’est du DNS encapsulé dans du HTTPS, donc c’est chiffré.
Non?
Requêtes et réponses, au lieu de voyager directement sur UDP ou TCP sont encapsulées dans HTTP, plus exactement HTTPS
#3
Pour une liste de serveurs autre que américains :https://github.com/curl/curl/wiki/DNS-over-HTTPS
Mozilla laisse toujours l’option de mettre un autre serveur c’est déjà ça. Peut être qu’ils vont ajouter une option dans le futur.
#4
HTTPS ne signifie pas obligatoirement qu’un chiffrement est appliqué mais donne une preuve de l’identité du serveur avec lequel le client échange. Le chiffrement est en option mais appliqué dans la majorité des cas.
#5
Merci pour le lien !
Même si c’est configurable, il n’empêche que la majorité des utilisateurs lambda ne feront jamais ce changement, donc les problématiques de vie privée et de fiabilité se posent tout de même à mon sens.
#6
> Les FAI pourraient en outre fournir une liste de domaines bloqués, pour lesquels Firefox couperait automatiquement sa protection
Pardon ? Bonjour la neutralité… :(
Entre ça et les questions de “faut-il inclure” tel ou tel certificat racine, Mozilla marche sur des œufs récemment.
#7
Effectivement, cet article découvert via hackernews parle de cette centralisation : https://ungleich.ch/en-us/cms/blog/2019/09/11/turn-off-doh-firefox/
#8
Perso j’utilise les DoH dans Firefox depuis quelques mois (ceux de Quad9), aucun problème à déplorer jusque-là.
#9
Ils by-passent entièrement le /etc/resolv.conf ? Ça revient à se tirer une balle dans le pied pour tout usage en entreprise, puisque ça désactive le VPN et ça ne peut pas accéder aux applications web sur les serveurs privés.
Ça sent le rétropédalage très prochainement.
#10
Je suis très dubitatif sur cette fonctionnalité… Autant je vois l’intérêt du protocole pour la vie privée mais autant son implémentation actuelle et les effets de bords qu’il apporte me paraissent donner un ratio bénéfice/risque très peu favorable.
Je pense que je le désactiverai au départ tout du moins…
#11
#12
#13
À noter que l’interception SSL/TLS pose déjà plusieurs problématiques peu connues.
#14
Pourquoi ne pas faire évoluer DNS à la place ? Avec soit du chiffrement soit du brouillage de piste (ex: 3 réponses pour 1 requête). Même si cela réclame plus de ressource. Enfin pas tant que cela non plus.
J’ajoute que les trucs “dark” ne figurent pas dans les DNS publics grâce à la “bienveillance” des admins et/ou des gouvernement. Chacun ayant une opinion sur le mot bienveillance. Donc voila…
#15
Pour une communication HTTPS sans chiffrement :
C’est bien ca?
Tu as des cas d’utilisation de ce “système” ?
#16
Ou comment, en une mise à jour, faire tomber à l’eau tous les blocages DNS ordonnés par la justice française :)
#17
#18
#19
#20
#21
C’est configurable :https://wiki.mozilla.org/Trusted_Recursive_Resolver
#22
C’est configurable pour ceux qui savent que c’est là.
Mais pour le péquin moyen qui n’arrivera plus à accéder à mafreebox.freebox.fr et ne comprendra pas d’où ça vient, ça restera un mystère.
Le DNS, c’est une fonction de l’OS, configurée dans l’OS. Ça n’a rien à faire dans un navigateur.
#23
je pense que le “qui n’est pas chiffrée” s’applique à la résolution DNS, pas au DNS-Over-HTTPS
#24
J’espère que Chrome avancera vite sur son implémentation. Si seul Firefox le propose, il risque de se faire bannir, notamment en entreprise, ce qui ne sera pas un gros problème vu ses parts de marché. Par contre c’est plus difficile pour Chrome, les admins devront faire avec.
#25
Je vois cette fonction comme une phase de l’expérimentation, logique vu la sensibilité de la fonction DNS.
Par suite, j’espère que Mozilla va rendre la chose plus accessible au grand public et proposer plusieurs fournisseurs comme cela existe pour kes moteurs de recherche.
#26
Ben non, le “chiffrement” de la résolution DNS ( ie : être sûr les données sont les bonnes ) est prévu par DNSSEC.
DNS-over-TLS permet de faire du DNS sur un canal TCP chiffré
DNS-over-HTTPS permet de faire du DNS sur un canal HTTPS ( donc HTTP chiffré )
Je me trompe quelque part ?
#27
Les entreprises peuvent paramétrer Firefox tant qu’elles veulent, et enlever cette option, donc le problème n’est vraiment pas les entreprises.
Ça va faire chier les FAI et les gouvernements oui.
#28
> HTTPS ne signifie pas obligatoirement qu’un chiffrement est appliqué mais donne une preuve de l’identité du serveur avec lequel le client échange. Le chiffrement est en option mais appliqué dans la majorité des cas.
Avec HTTPS, la connexion est toujours chiffrée. Ou alors il faudra me dire comment tu protèges tes payements sur internet…
#29
Non, DNSSEC ne chiffre rien du tout. Cela permet de signer numériquement les entrées DNS et donc s’assurer qu’elles n’ont pas été altérées en court de route. Les données restent toujours en claire.C’est le protocole DoT qui permet le chiffrement.
#30
Les GPO pour Firefox supportent la gestion de cette fonctionnalité :
" />
https://github.com/mozilla/policy-templates/blob/v1.9_release/README.md#dnsoverh…
Pour ta remarque sur Chrome je ne comprend pas trop : rien n’empêche les admins de bloquer Chrome autant que Firefox. D’ailleurs Chrome devrait être bloqué par défaut en entreprise
#31
Je suis d’accord avec la dernière partie de ton message
" />
Je voulais dire que si on ne veut pas faire l’effort de paramétrage, il est plus facile de bloquer un navigateur avec ~5% de parts de marché (et probablement moins en entreprise) que celui qui a 60 ou 70%, les conséquences ne sont pas les mêmes. Aux utilisateurs qui premier, on dira “z’avez qu’à changer”, à ceux du second, c’est plus compliqué (mais certes pas impossible).
#32
L’informatique doit être une dictature (
" /> ) et puis Edge fonctionne bien (double 
" /> )
#33
Oui, c’est pour ca que je précise “être sûr les données sont les bonnes”.
Le terme signer est beaucoup plus clair, mais ca passe par du chiffrement via cle publique/clef privée non?
C’est DoT qui permet le chiffrement oui. Mais DoH aussi non?
Ca existe du DoH non chiffré?
#34
tu me parles de technique et moi je te parle de rédaction en français ^^
" />
La proposition relative “qui, par défaut, n’est pas chiffrée ou protégée des regards” s’applique au nom “la résolution DNS”, c’est tout ce que je voulais dire.
Sur le côté technique, je te fais confiance : tu en sais très probablement beaucoup plus que moi
#35
Après c’est pas dit qu’ils l’activent dans Firefox ESR qui est la version de Firefox adaptée aux entreprises
#36
Clairement! La résolution de nom, ça se fait au niveau de l’OS!
Pour les intéressés sur l’avancée en la matière, hors firefox: DNS Privacy Project
#37
“en a introduit le support dans Firefox 60”
j’ai sur mon poste Ffx 60.9.0esr
#38
Sauf que les OS dominants n’ont pas l’air d’avoir la privacy comme motivation première, et Firefox n’est pas un OS.
Je trouve ça très bien au contraire que Mozilla développe une solution, sinon ça ne bougerait pas.
#39
#40
J’aimerais bien voir des stats pour savoir combien d’entreprises utilisens la version ESR, ou la release publique.
#41
En même temps, les entreprises vont pas se plaindre d’utiliser un soft en rolling release alors qu’il y a une version stable avec support long terme qui leur est proposé.
#42
Il n’y a pas que les entreprises, il y a aussi la mamie du Cantal qui veut accéder à sa freebox ou à son imprimante réseau en utilisant un hostname d’une machine sur le réseau privé.
Un navigateur, ça ne sert pas qu’à aller sur des choses qui sont sur le réseau public.
En plus, comment dire… Cloudflare, quoi ! J’imagine qu’il doit y avoir un partenariat et que Cloudflare finance la fondation Mozilla pour avoir le droit d’être choisi comme DNS par défaut et bypasser le DNS de l’OS. Un peu comme les DNS menteurs, à l’époque.
#43
#44
La solution serait peut être d’utiliser des tld approprié comme « .local » non ?
Je pense pas que firefox utilise Dns over Https (et donc cloudflare) pour faire les requêtes sur un .local.
#45
C’est le principe des attaques par déclassement (Downgrade attack).
HTTPS ne définit pas un chiffrement à utiliser. Cela résulte d’une négociation entre le client et le serveur.
Donc tu peux avoir un chiffrement affaibli voir faible ou aucun chiffrement du tout (ce qui est aussi un des choix de cette négociation) lors d’une connexion HTTPS.
#46
#47
#48
Juste une remarque.
Les entreprises de taille suffisante pour avoir une DSI ont généralement un proxy lisant les flux HTTPS. Via l’inclusion de certificat intermédiaire du proxy pour que ce soit transparent sur le pc utilisateur.
Donc ça ne sera pas parfait non plus et tout autant vulnérable sur les réseaux un peu truands.
Sinon concernant chrome en entreprise, perso je l’ai vu devenir rapidement le dominant chez les différentes boîtes que je côtoie. Surtout quand les SI externalisent auprès de Google Apps for business ou encore Office 365.
#49
C’est une fonctionnalité minimale d’un OS certes. Mais je ne vois pas de contraintes à ce qu’à navigateur propose mieux. Surtout quand les navigateurs progressent bien plus vite en terme de fonctionnalités (utilisateurs) qu’un OS.
#50
#51
#52
#53
#54
mafreebox.freebox.fr est résolu en 212.27.38.253 sur n’importe quel DNS.
Cette IP spéciale est redirigée en local par la Freebox au lieu de partir sur internet, peu importe comment elle a été obtenue. L’action se fait donc au niveau du routage, pas du DNS.
Le seul cas où il y aurait besoin d’utiliser le DNS de la Freebox, c’est si l’IP retournée était celle du LAN (192.168.1.1 par exemple), or ce n’est pas le cas.
#55
#56
il détourne ton DNS de celui que tu as configuré
Il n’y a que les utilisateurs avertis qui configurent leur propre DNS avec leurs propres filtres, ces mêmes personnes sauront comment désactiver cet option dans Firefox.
Quand à CloudFlare, ce n’est que pour le marché US, Mozilla recherche des partenaires en Europe et ailleurs. C’est pour ça que l’option n’est testé qu’aux US pour le moment.
Et je n’ai aucun doute sur le fait que quand Mozilla proposera l’option à tous, il y a aura une interface dédié expliquant les tenants et aboutissants de manière suffisamment clair pour qu’un néophyte puisse comprendre, comme ils l’ont fait avec la navigation privée.
Et que l’on pourra activer ou non cette option et configurer le serveur DNS.
#57
#58
Fork / patch => pas de liste
#59