Grâce au succès de projets comme Let's Encrypt et aux récents changements d'UX dans les navigateurs, la plupart des pages chargées sont désormais chiffrées avec TLS. Mais DNS, le système qui recherche l'adresse IP d'un site lorsque vous tapez le nom du site dans votre navigateur, reste non protégé par le chiffrement.
Pour cette raison, n'importe qui le long du réseau entre votre réseau et votre résolveur DNS (où les noms de domaine sont convertis en adresses IP) peut collecter des informations sur les sites que vous visitez. Cela signifie que certains espions peuvent toujours établir le profil de votre activité en ligne en dressant une liste des sites que vous avez visités ou une liste des personnes qui visitent un site en particulier. Les résolveurs DNS malveillants ou les routeurs sur le chemin d'accès peuvent également altérer votre requête DNS, vous empêchant ainsi d'accéder aux sites ou même de vous acheminer vers de fausses versions des sites que vous avez demandés.
Une équipe d'ingénieurs travaille à résoudre ces problèmes avec "DNS over HTTPS" (ou DoH), un projet de technologie en cours de développement par l'Internet Engineering Task Force qui a été parrainé par Mozilla. Le DNS sur HTTPS empêche l'écoute, l'usurpation et le filtrage sur le réseau en chiffrant vos requêtes DNS avec TLS.
En plus des technologies telles que TLS 1.3 et le SNI chiffré, DoH a le potentiel d'offrir d'énormes protections de confidentialité. Mais de nombreux fournisseurs de services Internet et participants au processus de normalisation ont exprimé de vives inquiétudes au sujet de l'élaboration du protocole. La UK Internet Service Providers Association est même allée jusqu'à qualifier Mozilla de "méchant de l'Internet" pour son rôle dans le développement du DoH.
Les FAI craignent que DoH ne complique l'utilisation des portails de communication captifs, qui servent à intercepter brièvement les connexions pour forcer les utilisateurs à se connecter à un réseau, et rendent plus difficile le blocage du contenu au niveau du résolveur. Le DNS sur HTTPS peut miner les plans du Royaume-Uni visant à bloquer l'accès à la pornographie en ligne (ce blocage, introduit dans le cadre de la loi sur l'économie numérique de 2017, devait être mis en œuvre par DNS).
Les membres de la société civile ont également exprimé leur inquiétude quant à l'utilisation automatique de certains résolveurs DNS par les navigateurs, qui l'emportent sur le résolveur configuré par le système d'exploitation (qui est aujourd'hui le plus souvent celui proposé par le FAI). Cela contribuerait à la centralisation de l'infrastructure Internet, puisque des milliers de résolveurs DNS utilisés pour les requêtes Web seraient remplacés par une petite poignée.
Cette centralisation augmenterait le pouvoir des opérateurs de résolution DNS choisis par les fournisseurs de navigateurs, ce qui leur permettrait de censurer et de surveiller les activités en ligne des utilisateurs de navigateurs. Cette capacité a incité Mozilla à faire pression en faveur de politiques fortes qui interdisent ce type de censure et de surveillance. Le bien-fondé de faire confiance à différentes entités à cette fin est compliqué, et différents utilisateurs peuvent avoir des raisons de faire des choix différents. Mais pour éviter que le déploiement de cette technologie ne produise un effet centralisateur aussi puissant, l'EFF appelle à un déploiement généralisé du DNS sur HTTPS par les FAI eux-mêmes. Cela permettra de profiter des avantages de la technologie en matière de sécurité et de confidentialité tout en donnant aux utilisateurs la possibilité de continuer à utiliser l'énorme variété de résolveurs fournis par les FAI qu'ils utilisent habituellement. Plusieurs FAI respectueux de la vie privée ont déjà répondu à l'appel. Nous nous sommes entretenus avec Marek Isalski, directeur de la technologie chez Faelix, fournisseur d'accès Internet basé au Royaume-Uni, pour discuter de leurs plans concernant le DNS chiffré.
Faelix a implémenté la prise en charge du DNS via HTTPS sur son résolveur pdns.faelix.net. Ils n'étaient pas motivés par des préoccupations concernant la surveillance gouvernementale, dit Marek, mais par "la monétisation de nos données personnelles". Pour Marek, soutenir les technologies de protection de la vie privée est un impératif moral. "J'ai le sentiment qu'il est de notre vocation, en tant qu'experts de la protection de la vie privée et des technologies, d'aider les autres à comprendre les droits que le RGPD a apportés aux Européens," a-t-il déclaré, "et de donner aux personnes les outils dont ils disposent pour prendre en charge leur vie privée".
EFF est très enthousiaste quant aux protections de la vie privée que le DoH apportera, d'autant plus que de nombreux développeurs de normes et d'infrastructures Internet ont invoqué les requêtes DNS non chiffrées comme excuse pour ne pas activer le chiffrement ailleurs sur l'Internet. Mais comme pour tout changement fondamental dans l'infrastructure de l'Internet, DoH doit être déployé d'une manière qui respecte les droits des utilisateurs.
Les navigateurs doivent être transparents quant aux personnes qui auront accès aux données des requêtes DNS et donner aux utilisateurs la possibilité de choisir leur propre résolveur. Les FAI et les autres opérateurs de résolveurs publics devraient mettre en œuvre la prise en charge des DNS chiffrés pour aider à préserver un écosystème décentralisé dans lequel les utilisateurs ont plus de choix sur qui ils peuvent compter pour divers services. Ils doivent également s'engager à protéger les données comme Mozilla l'a indiqué dans sa politique Trusted Recursive Resolver. Grâce à ces étapes, le DNS sur HTTPS a le potentiel de combler l'une des plus grandes lacunes en matière de confidentialité sur le Web.
sauce :
https://www.techspot.com/news/82061-eff-encrypted-dns-could-help-close-biggest-privacy.html