DoH, la dernière étape pour garantir la confidentialité sur le web

Leturia Azkarate, Igor

Informatikaria eta ikertzailea

Elhuyar Hizkuntza eta Teknologia

Afin de garantir la confidentialité et la sécurité des utilisateurs dans les activités du web, les principaux agents du réseau ont introduit ces dernières années une série de changements. La dernière étape dans cette voie est de définir la confidentialité dans les demandes faites par le système DNS, encourageant les demandes à être effectuées via le protocole sécurisé HTTPS via la technologie appelée DoH.
doh-webean-pribatutasuna-bermatzeko-azken-pausoa
Ed. Gerd Altmann/Pixabay

Dans un article écrit dans cette section il y a près de cinq ans (plus précisément en janvier 2015), les principaux agents du site ont pris des mesures pour que personne ne puisse espionner l'activité des utilisateurs. Comme il était indiqué, une nouvelle version du protocole HTTP/2 venait d'être présentée, dans laquelle la navigation est effectuée autant que possible sur HTTPS (toute la communication est chiffrée dans le protocole HTTPS). Tous les navigateurs web avaient déjà mis en place le protocole HTTP/2 d'ici la fin de 2015.

Dans cet article, l'émetteur de certificats Let’s Encrypt, de nouvelle création, a également été informé qu'il promeut l'utilisation de HTTPS sur les serveurs web. Cette initiative permettrait pour la première fois aux serveurs Web d'obtenir et de renouveler les certificats numériques gratuitement et facilement. Le service a été lancé en avril 2016 et je pense qu'il a beaucoup augmenté.

Cependant, même si les communications avec un site Web sont entièrement effectuées via HTTPS, il existe un autre complément très important et nécessaire de la navigation Web, qui pour le moment ne dispose pas de mesures de sécurité et de confidentialité, et qui nous laisse sans défense face à l'espionnage et les pièges: Système DNS.

Qu'est-ce que le système DNS ?

DNS signifie Domain Name System, c'est-à-dire le système de noms de domaine. Les noms de domaine sont des noms utilisés par les humains pour identifier les services et les pages web: www.google.com, www.berria.eus.. Cependant, les serveurs Web sont identifiés et localisés sur Internet via une adresse IP comme 172.217.4 ou 145.239.192.54. Par conséquent, pour qu'un navigateur Web puisse accéder à une page Web, il est nécessaire de connaître au préalable l'adresse IP à laquelle appartient le nom de domaine demandé. Et pour cela, c'est le système DNS.

DNS est l'un des services Internet. Et c'est un service distribué, dans lequel certains serveurs ont des informations sur certains domaines et d'autres. Notre ordinateur fait la première demande à un resoluteur DNS, qui canalise les demandes à d'autres serveurs jusqu'à obtenir l'adresse IP correspondante au nom de domaine.

Problèmes de protocole DNS

Le protocole DNS est antérieur au web en 1983 et a à peine subi des changements ou des mises à jour de sécurité importants depuis. Les demandes et les réponses DNS ne sont pas chiffrées, ce qui comporte des risques de sécurité et un manque de confidentialité.

D'une part, notre fournisseur de services Internet, le propriétaire du WiFi auquel nous sommes connectés, ainsi que tous les serveurs et routeurs intermédiaires qui traversent le chemin des requêtes et des réponses de DNS, voient la demande de DNS que nous faisons et donc le site que nous voulons visiter. Cela peut être utilisé, par exemple, pour faire un profil de nos préférences et le vendre aux entreprises de publicité.

D'autre part, toute personne en cours peut modifier l'adresse IP de la réponse et l'envoyer à une page inutile. Ainsi, lorsque nous demandons la visite du site Web de notre banque ou fournisseur de messagerie, nous pouvons nous diriger vers une page Web malveillante du même aspect et voler nos données. Ou si nous sommes sur un grand point de vente et que nous voulons profiter du téléphone pour voir si un produit a moins de coût de la concurrence, si nous nous connectons via le WiFi du point de vente, nous pouvons dire que le web de la concurrence ne fonctionne pas. Bien que ces cas soient plutôt extrêmes et inhabituels, cette même modification de la réponse de DNS est utilisée pour la censure ; récemment, par exemple, pour fermer les pages web de Tsunami Democràtic. Les fournisseurs d'accès Internet sont chargés de rediriger les requêtes vers ces domaines vers une autre adresse IP affichant une page Web indiquant que ce site a été fermé.

Solution DoH

La solution peut être DoH (DNS over HTTPS), la technologie qui effectue les requêtes et les réponses DNS via le protocole crypté HTTPS. Ainsi, les messages chiffrés étant, les personnes concernées ne peuvent pas voir quel domaine nous voulons visiter et changer l'adresse IP de réponse.

Les principaux navigateurs Web ont déjà mis en œuvre. Firefox il ya plus d'un an mais pas par défaut, nous devons l'activer manuellement. Le navigateur Google Chrome permet également depuis Septembre de cette année et Android depuis la version 9.

Même certains resoluteurs DNS l'ont déjà mis en œuvre, comme la célèbre société Cloudflare, qui est celle qui utilise Firefox par défaut. Chrome, quant à lui, utilise un résolveur DoH offert par Google.

Est-ce vraiment la solution ?

DoH est diffusion, mais pas tout le monde le voit bien. Il reçoit également des critiques et a suscité plus d'une polémique.

D'une part, ils disent qu'avec DoH rien ne garantit que le resoluteur DNS ne fait pas le profil de notre navigation et le vend aux entreprises de publicité et ont raison, dans ce cas il faudrait l'appeler DNS ebasle (pardonne, blague ;-). Mais c'est quelque chose que vous ne pouvez jamais éviter, nous aurons toujours à faire confiance à la dance.

D'autre part, jusqu'à présent, tous les services Internet ont utilisé un résolveur DNS défini pour tous au niveau du système d'exploitation informatique. Sur les réseaux domestiques, notre fournisseur de services Internet est généralement le résolveur défini sur le routeur et dans les réseaux d'entreprise, celui défini par les administrateurs système. Ils peuvent placer des filtres sur les resoluteurs DNS ou sur le routeur lui-même pour empêcher l'accès à différents endroits. Le logiciel utilisé pour restreindre les pages Web sur lesquelles nos enfants peuvent naviguer utilise également le système DNS, ainsi que les antivirus et pare-feu qui empêchent les sites malveillants. Ils ne peuvent pas le faire si le navigateur Web remplace le DNS du système par un résolveur DoH.

Enfin, le système DoH évite la censure susmentionnée. Vous pouvez facilement le vérifier: Activez DoH dans les paramètres de Firefox et vous pouvez facilement voir le site de Tsunami Democràtic. Et bien sûr, les gouvernements n'aiment pas ça...

Compte tenu des critiques des entreprises, des fournisseurs d'accès à Internet, des fabricants de logiciels et des gouvernements, Mozilla a déclaré que Firefox vérifiera s'il existe un filtre d'entreprise ou parental installé sur le réseau ou le système et que dans ce cas, il n'utilisera pas DoH. Il ajoute que dans certains pays, il ne priorisera pas DoH tant qu'il ne sera pas convenu d'accepter les éventuels blocages gouvernementaux. Mais comment déciderez-vous quels pays sont légitimes les blocages gouvernementaux et quelle est la censure ? Seulement en Chine, en Turquie, etc. mettre DoH pour éviter la censure? Et en Espagne et en France ? En fin de compte, entre autres choses, Mozilla ouvre la voie pour que le système créé pour éviter la censure soit accepté dans certains cas.

À la vue de tout cela, il est clair que lorsque dans le titre, nous avons dit que DNS over HTTPS est la dernière étape pour assurer la confidentialité sur le web, ce qui signifie la dernière et qui ne sera que nécessaire... Ce thème de sécurité et de confidentialité sur le web apportera encore une longue corde.

Babesleak
Eusko Jaurlaritzako Industria, Merkataritza eta Turismo Saila