Des entreprises comme Microsoft, Google et Mozilla font avancer le DNS sur HTTPS (DoH). Cette technologie cryptera les recherches DNS, améliorant ainsi la confidentialité et la sécurité en ligne. Mais c’est controversé: Comcast fait pression contre cela. Voici ce que vous devez savoir.
Table des matières
Qu’est-ce que DNS sur HTTPS?
Le Web a poussé à tout chiffrer par défaut. À ce stade, la plupart des sites Web auxquels vous accédez utilisent probablement le cryptage HTTPS. Les navigateurs Web modernes comme Chrome marquent désormais tous les sites utilisant le protocole HTTP standard comme «non sécurisés». HTTP / 3, la nouvelle version du protocole HTTP, intègre le chiffrement.
Ce cryptage garantit que personne ne peut altérer une page Web pendant que vous la visualisez ou espionner ce que vous faites en ligne. Par exemple, si vous vous connectez à Wikipedia.org, l’opérateur réseau, qu’il s’agisse du point d’accès Wi-Fi public d’une entreprise ou de votre FAI, peut uniquement voir que vous êtes connecté à wikipedia.org. Ils ne peuvent pas voir quel article vous lisez et ne peuvent pas modifier un article de Wikipédia en transit.
Mais, dans la poussée vers le cryptage, le DNS a été laissé pour compte. Le système de nom de domaine permet de se connecter à des sites Web via leurs noms de domaine plutôt qu’en utilisant des adresses IP numériques. Vous tapez un nom de domaine tel que google.com et votre système contactera son serveur DNS configuré pour obtenir l’adresse IP associée à google.com. Il se connectera ensuite à cette adresse IP.
Jusqu’à présent, ces recherches DNS n’ont pas été chiffrées. Lorsque vous vous connectez à un site Web, votre système déclenche une demande indiquant que vous recherchez l’adresse IP associée à ce domaine. N’importe qui entre les deux – peut-être votre FAI, mais peut-être aussi juste un point d’accès Wi-Fi public enregistrant le trafic – pourrait enregistrer les domaines auxquels vous vous connectez.
DNS sur HTTPS met fin à cet oubli. Lorsque DNS sur HTTPS, votre système établira une connexion sécurisée et cryptée à votre serveur DNS et transférera la demande et la réponse via cette connexion. Quiconque se trouve entre les deux ne pourra pas voir quels noms de domaine vous recherchez ou modifier la réponse.
Aujourd’hui, la plupart des gens utilisent les serveurs DNS fournis par leur fournisseur d’accès Internet. Cependant, il existe de nombreux serveurs DNS tiers comme Cloudflare 1.1.1.1, DNS public de Google, et OpenDNS. Ces fournisseurs tiers sont parmi les premiers à activer la prise en charge côté serveur du DNS sur HTTPS. Pour utiliser DNS sur HTTPS, vous aurez besoin à la fois d’un serveur DNS et d’un client (comme un navigateur Web ou un système d’exploitation) qui le prend en charge.
Qui le soutiendra?
Google et Mozilla testent déjà DNS sur HTTPS dans Google Chrome et Mozilla Firefox. Le 17 novembre 2019, Microsoft a annoncé il adopterait DNS sur HTTPS dans la pile réseau Windows. Cela garantira que chaque application sous Windows bénéficiera des avantages du DNS sur HTTPS sans être explicitement codée pour le prendre en charge.
Google dit il activera DoH par défaut pour 1% des utilisateurs à partir de Chrome 79, dont la sortie est prévue pour le 10 décembre 2019. Lorsque cette version sera publiée, vous pourrez également accéder à chrome: // flags / # dns-over -https pour l’activer.
Mozilla dit il activera DNS sur HTTPS pour tout le monde en 2019. Dans la version stable actuelle de Firefox, vous pouvez vous diriger vers le menu> Options> Général, faire défiler vers le bas et cliquer sur « Paramètres » sous Paramètres réseau pour trouver cette option. Activez «Activer DNS sur HTTPS».
Apple n’a pas encore commenté les projets de DNS sur HTTPS, mais nous nous attendions à ce que la société suive et implémente le support dans iOS et macOS avec le reste de l’industrie.
Il n’est pas encore activé par défaut pour tout le monde, mais DNS sur HTTPS devrait rendre l’utilisation d’Internet plus privée et sécurisée une fois qu’elle est terminée.
Pourquoi Comcast fait-il du lobbying contre cela?
Cela ne semble pas très controversé jusqu’à présent, mais ça l’est. Comcast a apparemment fait pression sur le congrès pour empêcher Google de déployer le DNS sur HTTPS.
Dans une présentation présentée aux législateurs et obtenue par Carte mère, Comcast soutient que Google poursuit des «plans unilatéraux» («avec Mozilla») pour activer DoH et «[centralize] une majorité de données DNS dans le monde entier avec Google », ce qui« marquerait un changement fondamental dans la nature décentralisée de l’architecture d’Internet ».
Une grande partie de cela est, franchement, faux. Marshell Erwin de Mozilla a déclaré à Motherboard que «les diapositives dans l’ensemble sont extrêmement trompeuses et inexactes». Dans un article de blog, Kenji Beaheux, chef de produit Chrome fait remarquer que Google Chrome n’obligera personne à changer de fournisseur DNS. Chrome obéira au fournisseur DNS actuel du système: s’il ne prend pas en charge DNS sur HTTPS, Chrome n’utilisera pas DNS sur HTTPS.
Et, depuis lors, Microsoft a annoncé son intention de prendre en charge DoH au niveau du système d’exploitation Windows. Avec Microsoft, Google et Mozilla l’adoptant, il ne s’agit guère d’un schéma «unilatéral» de Google.
Certains ont émis l’hypothèse que Comcast n’aime pas DoH car il ne peut plus collecter de données de recherche DNS. Cependant, Comcast a promis il n’espionne pas vos recherches DNS. La société insiste sur le fait qu’elle prend en charge le DNS chiffré mais souhaite une «solution collaborative à l’échelle de l’industrie» plutôt qu’une «action unilatérale». Le message de Comcast est désordonné – ses arguments contre le DNS sur HTTPS étaient clairement destinés aux yeux des législateurs, pas du public.
Comment le DNS sur HTTPS fonctionnera-t-il?
Mis à part les étranges objections de Comcast, voyons comment le DNS sur HTTPS fonctionnera réellement. Lorsque la prise en charge DoH sera active dans Chrome, Chrome utilisera DNS sur HTTPS uniquement si le serveur DNS actuel du système le prend en charge.
En d’autres termes, si vous avez Comcast en tant que fournisseur de services Internet et que Comcast refuse de prendre en charge DoH, Chrome fonctionnera comme il le fait aujourd’hui sans crypter vos recherches DNS. Si vous avez configuré un autre serveur DNS (peut-être avez-vous choisi Cloudflare DNS, Google Public DNS ou OpenDNS, ou peut-être que les serveurs DNS de votre FAI prennent en charge DoH), Chrome utilisera le cryptage pour communiquer avec votre serveur DNS actuel, mettant automatiquement à jour le connexion. Les utilisateurs peuvent choisir de s’éloigner des fournisseurs DNS qui n’offrent pas de DoH, comme celui de Comcast, mais Chrome ne le fera pas automatiquement.
Cela signifie également que toutes les solutions de filtrage de contenu qui utilisent DNS ne seront pas interrompues. Si vous utilisez OpenDNS et configurez certains sites Web pour qu’ils soient bloqués, Chrome laissera OpenDNS comme votre serveur DNS par défaut et rien ne changera.
Firefox fonctionne un peu différemment. Mozilla a choisi Cloudflare en tant que fournisseur DNS crypté de Firefox aux États-Unis. Même si vous avez configuré un autre serveur DNS, Firefox enverra vos requêtes DNS au serveur DNS 1.1.1.1 de Cloudflare. Firefox vous permettra de désactiver cela ou d’utiliser un fournisseur DNS chiffré personnalisé, mais Cloudflare sera la valeur par défaut.
Microsoft dit que DNS sur HTTPS dans Windows 10 fonctionnera de la même manière que Chrome. Windows 10 obéira à votre serveur DNS par défaut et n’activera DoH que si le serveur DNS de votre choix le prend en charge. Cependant, Microsoft affirme qu’il guidera les «utilisateurs et administrateurs Windows soucieux de leur confidentialité» vers les paramètres du serveur DNS.
Windows 10 peut vous encourager à changer de serveur DNS vers un serveur sécurisé avec DoH, mais Microsoft dit que Windows ne fera pas le changement à votre place.