L'Agence européenne pour la santé et le numérique (HaDEA) vient de lancer un appel à projet de 14 millions d'euros en vue du déploiement de DNS4EU, une « infrastructure de service de résolution DNS sécurisée et respectueuse de la vie privée ».
Annoncée fin 2020, DNS4EU devrait « fournir une large couverture géographique dans l'UE et garantir une fiabilité et une disponibilité élevées, ainsi qu'une faible latence de résolution DNS grâce, entre autres, à une large empreinte distribuée (points de présence) et à une redondance » :
DNS4EU devra « être facile à configurer par des non-experts », et offrir des « services de filtrage de contrôle parental strictement opt-in et entièrement transparents ».
D'autres services de filtrage d'URL « pourraient également être proposés de manière strictement facultative et totalement transparente », tels qu'un « filtrage des URL menant à un contenu illégal sur la base des exigences légales applicables dans l'UE ou dans les juridictions nationales (par exemple, sur la base d'ordonnances judiciaires), dans le plein respect des règles de l'UE ».
Il devra également proposer une « protection de pointe contre les menaces de cybersécurité en bloquant les logiciels malveillants, le phishing et d'autres menaces ».
Les données de résolution DNS et les métadonnées seront traitées dans l'UE, et « il n'y aura pas de monétisation des données personnelles ». L'utilisation potentielle des données agrégées (par exemple pour l'analyse de la cybersécurité) devra être spécifiée et rendue transparente :
« L'infrastructure de service doit être conforme aux dernières normes de sécurité et de confidentialité (par exemple, HTTPS, DNSSEC), y compris le chiffrement DNS (par exemple, DNS sur TLS (DoT) et DoH) et être entièrement conforme à IPv6. »
Il devra en outre « fournir des services premium payants pour une sécurité renforcée (par exemple, filtrage ad hoc, surveillance, assistance 24h/24 et 7j/7), ainsi qu'une résolution de gros services pour d'autres fournisseurs de services numériques, y compris les FAI et les fournisseurs de services cloud ».
Commentaires (67)
#1
Gné ?
L’UE qui veut se lancer dans le service DNS maintenant.
Original.
#2
Je trouve ça chouette sur le papier de ne pas dépendre de services privés/commerciaux pour une maille aussi cruciale d’Internet. Après, faudra voir ce que ça vaut en pratique. Pour le contrôle parental ça peut vachement aider par exemple.
Après, ce sera potentiellement le premier DNS à implémenter les blocages décidés en justice, mais comme ça se contourne si besoin…
#3
Je trouve que c’est plutôt une bonne idée, à voir la mise en œuvre.
#4
C’est vraiment à l’UE de gérer ça ?
pourquoi ces critères ? C’est si courant que ça les cas de serveur DNS non disponibles dans certains pays, qui renvoient vers des mauvais sites, ou souvent indisponibles ? Il me semble que ce sont des critères pour un hébergeur, pas pour un serveur DNS
Opennic, Cloudflare, Google, les opérateurs ont des DNS qui fonctionnent bien.
Grosse question par contre : j’attends de voir l’homogénéisation des contenus illégaux à bloquer.
Le blasphème est interdit en Autriche, le communisme dans la plupart des pays d’Europe de l’Est, la négation du génocide arménien en Belgique… DNS4EU devra-t-il les filtrer ?
#5
Pourvu que ça ne dérive pas comme l’eIDAS, qui veut maintenant imposer par force de loi quels certificats racine les navigateurs sont obligés de reconnaître, sans la moindre contrepartie comme par exemple un processus de révocation d’un certificat racine en cas d’abus de la part d’un état.
https://www.eff.org/deeplinks/2021/12/eus-digital-identity-framework-endangers-browser-security
#6
Ils sont a deux doigts d’inventer NextDNS :p
#7
C’est un appel à projet. C’est justement les boîtes comme NextDNS qui vont y répondre. Ils seront censés offrir une version gratuite très performante sur toute l’Europe. Bonne nouvelle pour le développement de ces alternatives aux géants bien établis.
#8
Sauf si entre temps ils décident d’imposer a windows et osx de l’avoir pour seul et unique DNS, par défaut et non modifiable pour le commun des mortels afin de garantir la sécurité, empêcher l’accès au porno aux enfants et la souveraineté numérique de l’UE.
Quoi de mieux pour lutter contre les sites de streamings, de torrents, tout ce qui considéré comme fake news ou les dissidents que de contrôler le comment y accéder. Et en le rendant obligatoire et par défaut sur les installations des michu, ça sera un moyen extrêment simple pour les non-experts.
Juste pour donner une idée, d’après un rapport de la commission européenne sortie dans la 1ière moitié de 2021, c’est la France qui est le pays qui fait le plus pour l’open-source dans le secteur public dans l’UE, suivi par l’Italie… L’Allemagne est à la toute fin du classement, derrière la pologne…
Quand on dit la fin c’est vraiment la fin de la fin. Sur les 65 points que valent les critères de notations, l’Allemagne n’en a absolument aucun…
Parcontre pour financer le secteur privé avec de l’argent publique, la l’Allemagne nous met une claque apparement.
C’est pas si étonnant que ça venant du 1ier chien de garde de MS au sein de l’UE cela dit.
#9
Je pense qu’avoir un DNS fiable pour les équipements de santé est une bonne chose. Sauf erreur il y a des moyens d’attaque utilisant un DNS corrompu.
Espérons que cet outil ne tentera pas certains autocrates.
#10
Tel que j’ai lu le document, je n’ai pas l’impression que ça homogénéise. De ma compréhension de la spec, la solution doit permettre d’intégrer les filtrages prononcés à l’échelle européenne ou par une juridiction nationale. Donc le filtrage devra certainement s’appliquer selon l’origine géographique du client.
La spec indique bien “dans le respect total des règles de l’UE”. Sauf erreur de ma part, seule une décision prononcée par la CJUE a une portée globale à tous les Etats-membres, donc une décision nationale ne doit, en principe, pas impacter un autre pays.
#11
Faut voir. Ca semble une bonne idée sur le papier, mais il faudra regarder en détail les garde fous qui seront mis en place pour circonscrire des velleités d’intervention politiques sur le DNS lui même.
#12
On parle de l’Union Européenne… quand on voit les membres, on sait que tout pouvoir de contrôle sur les citoyens qu’un tel outil peut procurer sera systématiquement abusé. Les trois premiers à le faire seront sans-doutes France, Hongrie et Pologne…
#12.1
Ca restera toujours contournable pour ceux qui n’ont pas confiance. Perso j’ai monté mon propre serveur DoH car à aucun moment je n’aurai confiance envers celui d’une des entreprises de la Big Tech.
#13
Est-ce qu’il devra faire le café aussi ?
#14
Enfin. Depuis le temps que je l’attendais.
Même si, comme souvent malheureusement avec l’UE, je risque de déchanter au final.
#15
Un DNS avec filtré intégré géré par les institutions… vivement que ce soit obligatoire !
lol.
#16
L’appel à propositions est justement réservé aux entreprises européennes donc, a priori, NextDNS (ou OpenDNS, créé longtemps avant NextDNS) sont exclus.
#17
Pour l’instant, l’appel à propositions dit explicitement que l’accès à DNS4EU devra être « opt-in ». Dans le futur, on ne sait pas encore…
#18
C’est évidemment la meilleure solution. J’en profite pour faire de la pub pour le mien : https://doh.bortzmeyer.fr/policy
#19
En effet, les exigences sont nombreuses et, même pour les 14 M€ donnés, cela ne sera pas évident.
#20
On peut raisonnablement supposer qu’il n’y aura aucun garde-fou, l’appel à propositions dit au contraire explicitement qu’il faudra bloquer les noms illégaux (comme ceux pointant vers des sites LGBT en Hongrie).
#21
On parie combien qu’après la seconde année d’exploitation, on se rendra compte que c’est utilisé pour rediriger le trafic de certains sites vers une plateforme d’interception…
#22
Oui c’est bien ce que je pense, malheureusement
#23
Pour un résolveur DNS, la disponibilité est absolument cruciale. Sans résolveur DNS, c’est à peu près comme si on n’avait pas d’Internet. Une des raisons pour lesquelles des gens ont migré vers les résolveurs publics est justement la panne du résolveur de leur FAI. https://www.bortzmeyer.org/resolveur-dns-en-panne.html
Opennic ? Avec les trois quarts des adresses IP qu’ils donnent qui ne répondent pas ?
Cloudflare et Google ont eu des pannes aussi. Néanmoins, avoir moins de pannes qu’eux ne sera pas facile (euphémisme).
#24
De toute manière, tout DNS menteur est un mauvais DNS, quel que soit l’objectif recherché.
#25
Comment on contourne ? (Oui, on peut changer de résolveur mais, dans ce cas, à quoi sert DNS4EU ?)
#26
“On” ne sait pas. Mais “eux” ils doivent déjà savoir.
#27
« services de filtrage d’URL » Le terme figure en effet dans l’appel à propositions mais il est absurde puisqu’un résolveur DNS ne voit pas les URL, seulement les noms de domaines. C’est une des raisons pour lesquelles utiliser un résolveur DNS menteur pour la sécurité n’est pas une bonne idée. Si le site Web de la mairie de Champignac se fait p0wNer et que http://www.mairie-champignac/wp-quelquechose/malware.php distribue du logiciel malveillant, il n’y a aucun moyen, au niveau DNS, de bloquer seulement cet URL.
#28
Comme quasiment toute activité sur l’Internet commence par une requête DNS, qui contrôle le résolveur DNS contrôle toute votre activité. Sur le fonctionnement du DNS, les amateurs de vidéos peuvent regarder : https://www.afnic.fr/observatoire-ressources/actualites/lafnic-met-en-ligne-une-video-sur-les-coulisses-des-noms-de-domaine/
#29
Cool un nouveau DNS menteur…
#30
Effectivement, il faut assortir ce dispositif d’une couche de filtrage, genre reverse-proxy vers lequel toutes les requêtes seront routées après mensonge du DNS.
#31
C’est dans l’article, c’est pour les non-experts, donc t’es exclu d’office.
Et dans quelques années, on nous expliquera que pour des raisons de sécurité, de lutte contre le pédoporno, le terrorisme ou autres blagues habituelle. l’UE décidera de les rendre obligatoire sur les plus importants OS du marché.
Et bien évidemment tout sera fait pour que le michu ne puisse pas le changer aussi facilement que c’est le cas actuellement.
Google, apple et MS s’y plieront sinon planera sur eux la menace d’une très très grosse amende.
#32
dernières normes de sécurité et de confidentialité (par exemple, HTTPS, DNSSEC), y compris le chiffrement DNS (par exemple, DNS sur TLS (DoT) et DoH) et être entièrement conforme à IPv6.
Ils n’ont pas oubliés IPv6
#33
L’appel à propositions ne mentionne pas cette énorme usine à gaz qui serait nécessaire, avec ses problèmes de vie privée et de disponibilité.
#34
C’est clair, soit c’est implicite car ils parlent de filtrage d’url plutôt que de noms de domaine, soit ils devront amender le texte pour retirer ce point ou le spécifier un peu mieux.
#35
Il me semble qu’avec un VPN on peut contourner le blocage DNS, et éteindre le VPN le reste du temps.
#35.1
VPN et DNS n’ont pas grand chose à voir. Tu peux utiliser un VPN et toujours interroger le même serveur DNS, ce qui ne résoudrait pas le problème s’il s’agit d’un DNS menteur.
#36
Au secours nous vivons en dictature: l’UE veut fournir une alternative aux DNS privés qui par essence sont les plus respectueux.
#37
Je suis bien certain que les gouvernements de l’UE sont tous démocratiques, ne sont jamais tentés par des comportements autoritaires, ne censurent pas SciHub ou autres, ne surveillent pas leur population (d’ailleurs, ils ne font jamais de lois étendant les possibilités de surveillance), et surtout n’utilisent jamais des prétextes (terrorisme, par exemple) pour étendre leur pouvoir. Mais, quand même, on peut se méfier ou bien c’est suspect d’avoir un doute ?
Et, sinon, la politique, contrairement à l’informatique, ce n’est pas binaire, il n’y a pas que Google et la Commission Européenne. On peut par exemple avoir son/ses propre(s) résolveurs.
#38
Je préfère un DNS privé qui filtre la pub, plutôt qu’un DNS de l’UE qui filtre les contenus.
et toi ?
#39
Y a-t-il un espoir que ce mouvement serve à se rapproprier un peu du pouvoir de l’ICANN et enfin boulverser l”internet à l’américaine” ?
#39.1
Pas du tout, ce seront toujours les DNS Racines qui feront autorité. C’est de toute façon la seule solution (simple) pour qu’il y ait unicité des noms de domaine.
Comme indiqué, c’est pour que les utilisateurs “lamda” puisse utiliser un service de résolution DNS sécurisé et respectueux de la vie privée. PRobablement à la place de ceux de Google, Cloudflare ou autres.
Le terme opt-in ne concerne que le filtrage parental (et les services premium payants).
L’utilisation simple du service est naturellement en opt-in puisque c’est à l’utilisateur de choisir de l’utiliser.
#40
J’imagine que dans certaines familles et dans les sociétés c’est une bonne chose.
Le glissement sera quand , une fois bien établi , ils commenceront à critiquer les autres services de DNS non-EU, prémices d’un blocage par IP imposé aux FAI (et c’est là qu’on sera content d’avoir DOH, même si dans l’absolu c’est pas une solution)
#41
A terme, ils devraient nous mettre un navigateur internet Européen, dans un OS spécifique Européen.
Une sorte d’internet “bridé” ^^ Je sors ! [ ]
#42
Tiens ? Encore une idée de DNS menteur.
Comprenez par “sécurisé” non pas DNSSEC (qui ne dépend pas du résolveur utilisé, par conception), mais une manière de faire passer la pilule du “filtré”, afin d’éviter les termes péjoratifs comme “censuré”… même si c’est précisément ce qui sera fait.
Vous savez, un peu comme quand on vous protège contre les pédophiles (enfin ça, c’était avant) et les terroristes quand on met en place une surveillance de masse.
Cette “sécurité”-là, qui prime sur la Liberté.
Imaginons les contenus non-sécurisés/filtrés/censurés et les censeurs :
Pour un Internet neutre, les services réseau de base doivent rester techniques, et ne pas verser dans le politique.
Foutez la paix à DNS, et laissez tout résolveur respecter ce qui descend d’une zone pour laquelle il accepte de répondre.
#43
oui en effet quand on lis c’est ca que je voit.
#44
J’aurais largement préférer un truc du genre :
L’Europe investi pour des DNS Racine en Europe a faible latence, qui supporte les dernière tech de sécurité/dnssec et l’ipv6.
Contrairement a leur idée saugrenue, ca aurais permis d’avoir les premiers DNS racine qui supporte le chiffrement DOT/DOH/ODOH/DNSCRYPT.
#45
Bonne idée puis on met un tld européen .3615 pour le nom pourquoi pas “Minitel” ?
#46
Pour une institution politique, la définition de “sécurité” n’a rien à voir avec la technologie.
Ca signifie plutôt renseignement, défense et maintient de l’ordre.
Suffit de regarder les définitions de “sécurité intérieure/extérieure/publique…”
#47
oui, je sais mais bon je regrette malgré tout qu’aucun serveur racine ne soit disponible via les technologie de connexion chiffrée moderne (meme en bêta avec un gros (attention risque de planté etc).
c’est le seul truc qui me pousse encore a évité de résoudre directement les serveur racine (car rien n’empêcherais l’isp d’intercepté ces requêtes non chiffrée.
#48
Mouais, autant passer par les DNS de la FDN, non ?
#48.1
Ils ne sont pas dimensionnés pour pouvoir absorber un trafic trop important. Donc, quand il y a quelques personnes informées qui les utilisent en plus de leurs abonnés, ça va. Si toute l’Europe les utilisaient, ils s’écrouleraient.
#49
Je les utilisais avant mais j’ai des sites qui ne marchaient pas avec (je crois qu’il retournait une mauvaise IP). Je n’ai pas cherché de raison, vu que quelqu’un d’autre ici s’était déjà plaint de problèmes avec, je les ai remplacés par ceux de quad9.net (ceux non menteurs).
#50
Ils ne fonctionnent que sur UDP, donc zéro confidentialité en transit, et zéro authentification. Il serait trivial de les remplacer par des usurpateurs.
#51
Non, car ça n’a aucun rapport. L’ICANN ne contrôle pas les résolveurs, et n’a aucune autorité sur Google Public DNS ou les autres Quad-N.
#52
Il y a déjà plein de serveurs racines en Europe, et tous les serveurs racine gèrent DNSSEC et IPv6.
Il n’existe pas de norme technique pour faire du chiffrement vers les serveurs faisant autorité (bien que l’IETF ait des projets). Et les opérateurs de serveur racine ont déjà dit qu’ils ne voulaient pas du chiffrement : https://root-servers.org/media/news/Statement_on_DNS_Encryption.pdf
#53
Je sais je trouve juste dommage qu’il ai pas un protocole sous les aisselles, en alpha ou bêta.
Au lieu de dire qu’il n’ont rien prévu, créer des clone d’un serveur racine et un protocole alpha (avec un éventuel fallback) serait intéressant a voir (ainsi ceux d’entre nous intéressé pourront aider a le développé en remontant les bug / faire des PR).
Car juste attendre que ca sorte tous seul on peut attendre longtemps
#54
Comme on a la QNAME minimisation https://www.bortzmeyer.org/9156.html (et quelques autres trucs comme les serveurs racine locaux et la synthèse de réponse avec les NSEC), la communication avec le serveur racine n’est franchement pas le maillon faible. L’IETF travaille sur le chiffrement des requêtes DNS vers les serveurs faisant autorité mais c’est bien plus important pour le TLD que pour la racine.
#55
Disons que cela permet a certain ISP (je n’en accuserait aucun en Europe mais plusieurs utilisateurs on déjà remarqué certain qui redirigeait les DNS vers le leurs, donc un non chiffrement des racines, empêche techniquement ces utilisateurs d’utilisé un logiciel tel que unbound sur un raspberry pi, pour résoudre au racine directement (en étant chiffré (empêchant ce détournement et augmentant un poil leur vie privée du FAI))).
Edit : voir la suite pour comprendre le “un poil” sur la vie privée.
Dans mon cas ce serait surtout pour l’auto update du cache avant que le TTL atteigne 0 et le fait qu’il y ai un TTL bloqué a 0 (entendre par la continuer de servir la dernière réponse valide si aucune réponse n’est obtenue de la maj du cache) tous ca sur les racines), cependant je ne puis actuellement le faire car ces racine ne supporte pas ce chiffrement je suis donc forcé de faire “confiance” a un DNS (ouvertement reconnu certe) mais rien ne leur empêche de se mettre a tous filtré du jour au lendemain sans que personne ne voit rien pendant plusieurs semaines.
Oui je concede l’ISP sait toujours ou je vais VIA les ips, mais de manière beaucoup moins précise, genre tous les site utilisant cloudflare tous ce que sait l’isp (c’est l’ip et eventuellement le SNI si ce dernier l’enregistre).
#56
C’est certain que le DNS n’est pas la solution magique à toutes les attaques possibles. Pour autant, ça peut être un vrai plus pour augmenter la sécurité globale, en permettant de bloquer facilement des noms de domaine malveillants et en permettant d’avoir une idée de son usage.
#57
Et DNSSEC, alors ?
#58
Pas que. Pour rappel un DNS hacké peut vous diriger vers un faux site, alors que vous avez saisi la bonne adresse, et que même c’est la bonne adresse qui s’affiche dans votre navigateur.
c’est pour l’instant rarissime, mais bon, même principe de précaution qu’avec le Cloud par exemple.
#59
Comme je disait dnssec est activé sur quoi 1% 5% 10% ? on fait quoi du reste non sécurisé par DNSSEC ?
#60
Merci pour les différentes réponses.
C’est que je me suis dit : quand on a un sac à noeud à défaire (contrôler la sémantique / structures des adresses), si en tirant un côté cela ne veut pas lâcher (côté ICANN), il est parfois intéressant de tirer de l’autre côté du noeud (créer son DNS, massivement utilisé, pour contraindre, à terme, les utilisateurs l’utilisant à se défaire de l’ICANN) pour relâcher un peu la tension dudit noeud.