Depuis plus de trente ans, le blocage des sites au moyen des DNS est utilisé pour empêcher les utilisateurs d'accéder à certains sites sur internet. Les décisions de justice peuvent obliger les fournisseurs d'accès à Internet à bloquer l'accès de leurs clients à certains sites.
Il peut s'agir de sites pirates, de sites pour adultes ou de tout autre site contre lequel un tribunal a statué. Le blocage basé sur le DNS est une forme simple de blocage de l'accès à un site.
Le DNS est utilisé pour traduire le nom de domaine d'un site, par exemple ghacks.net, en son adresse IP. Les ordinateurs utilisent les adresses IP pour communiquer. Le blocage empêche la recherche. Le résultat est que le site en question ne peut pas être ouvert sur l'appareil de l'utilisateur. Parfois, une autre page s'affiche pour informer l'utilisateur du blocage.
Le blocage basé sur le DNS n'a jamais été efficace. Les utilisateurs peuvent utiliser différents fournisseurs de DNS sur leurs appareils pour accéder aux sites en question. Dans tous les systèmes d'exploitation modernes, il suffit de quelques clics pour changer de fournisseur. Cette opération peut être effectuée dans n'importe quel navigateur web ou à l'échelle du système. Des programmes tiers tels que QuickSet DNS peuvent également être utiles à cet égard. Les VPN et les serveurs proxy peuvent également être utilisés.
Il existe des raisons valables de changer de fournisseur DNS. L'une d'elles est la performance, et un outil comme Namebench peut aider les utilisateurs à trouver le fournisseur le plus performant en effectuant des analyses comparatives. Une autre raison est la sécurité. Certains fournisseurs de DNS peuvent prendre en charge des fonctions de sécurité que le fournisseur par défaut, souvent le FAI de l'utilisateur, ne prend pas en charge.
Le chiffrement des DNS a connu un essor ces dernières années. Le DNS-over-HTTPS joue un rôle important, mais il laisse toujours filtrer le nom de domaine. Cela signifie que les fournisseurs peuvent toujours bloquer l'accès à des sites au niveau du DNS ou vendre les informations recueillies.
L'introduction de Encrypted Client Hello dans les navigateurs change la donne. Il masque le nom de domaine lors des recherches, de sorte que les fournisseurs de services Internet ou les opérateurs de réseau ne sachent pas à quoi un utilisateur accède sur l'Internet. Il s'agit d'une avancée majeure pour la protection de la vie privée, car elle empêche les FAI d'enregistrer et de vendre les données des utilisateurs, ou d'interagir avec certaines requêtes.
Mozilla a introduit la prise en charge de Encrypted Client Hello dans Firefox 118, et Chromium a également ajouté la prise en charge de la fonction de sécurité récemment. Vous pouvez vérifier votre navigateur ici pour savoir s'il prend en charge cette fonctionnalité.
L'amélioration de la protection de la vie privée des utilisateurs a pour effet secondaire de rendre inutilisable le blocage basé sur le DNS. Le FAI ou l'opérateur de réseau n'a plus connaissance du nom de domaine auquel l'utilisateur tente d'accéder, car celui-ci n'est plus fourni en clair. Ainsi, les sites web bloqués au niveau du DNS ne le sont plus, à condition que le site en question prenne en charge Encrypted Client Hello.
Cloudflare a activé la prise en charge de Encrypted Client Hello pour tous ses sites gérés ce mois-ci. Des millions de sites prennent déjà en charge Encrypted Client Hello et beaucoup d'autres suivront à l'avenir.
Les résultats sont pour l'instant mitigés, comme le rapporte Torrentfreak. Les sites qui utilisent Cloudflare pour leur protection ou qui ont activé Encrypted Client Hello sur leurs serveurs ne sont plus bloqués au niveau DNS dans les pays où ils sont bloqués. Rien ne change pour les sites bloqués qui n'utilisent pas Encrypted Client Hello, mais il est probable qu'ils l'utiliseront à l'avenir.
Il est trop tôt pour dire comment cela affectera la législation et les décisions locales visant à bloquer l'accès aux sites web. Les tribunaux peuvent exiger que les FAI utilisent des techniques de blocage différentes, par exemple l'inspection approfondie des paquets (Deep Packet Inspection).
source :
https://www.ghacks.net/2023/10/07/the-end-of-dns-based-site-blocking-is-near/