Chose promise, chose due. La fonction est en cours d’activation aux États-Unis. Le top départ a été donné hier soir, et le processus se poursuivra sur plusieurs semaines.
DoH permet pour rappel de chiffrer les données échangées entre l’appareil et le serveur DNS. Une opération permettant de limiter certains types d’attaques, comme les écoutes sur la connexion ou l’homme du milieu.
Pour Mozilla, cette activation est une simple question de bon sens : l’architecture DNS est l’une des plus anciennes briques d’Internet et n’a jamais été pensée pour relever les défis de sécurité du monde actuel.
Si l’utilisateur ne touche à rien, le trafic DNS est orienté vers Cloudflare, défini comme partenaire par défaut. Un autre est disponible : NextDNS. Tous deux ont signé une charte les engageant à respecter des consignes strictes édictées par Mozilla. On peut bien sûr choisir son propre serveur, ou couper tout simplement la fonction.
Le mouvement a toutefois ses détracteurs. D’abord parce qu’il oriente les échanges DNS vers un acteur unique par défaut, avec les risques de SPOF (single point of failure) que l’on peut imaginer. Ensuite parce que DoH peut provoquer des problèmes.
Il s’était attiré les foudres d’experts en sécurité, entreprises et représentants nationaux, notamment parce qu’il empêche les solutions de contrôle parental de fonctionner, peut provoquer la pagaille dans les réseaux professionnels, n’empêche pas vraiment les fournisseurs d’accès de traquer la navigation et… peut aider les criminels. Un point courant dès que l’on parle de chiffrement.
Mozilla avait en partie préparé le terrain en annonçant que DoH serait automatiquement désactivé en cas de détection d’une solution de contrôle parental ou dans une configuration d’entreprise.
Rien pour l’instant n’a été annoncé pour le reste du monde, mais tout le monde peut aller activer manuellement la fonction dans les paramètres, car le support de DoH est présent depuis l’année dernière.
Commentaires