DoH ! Firefox déploie aux États-Unis une fonction de confidentialité controversée

Stéphane Moussie |

En préparation depuis plus de deux ans, la fonctionnalité de DNS over HTTPS (abrégée DoH en anglais) est en cours d'activation par défaut chez les utilisateurs américains de Firefox. Bien qu'elle vise à renforcer la confidentialité des internautes, cette fonctionnalité fait l'objet de critiques.

Alors de quoi s'agit-il ? Pour rappel, DNS (pour Domain Name System), c'est, pour simplifier, une base de données qui associe un nom de domaine (par exemple en.wikipedia.org) à une adresse IP (208.80.154.224). C'est ce qui permet de ne pas avoir à se souvenir de grandes suites de chiffres pour accéder à un site web, il suffit de taper son nom.

Quand vous tapez le nom d’un site dans votre navigateur, votre appareil se connecte d’abord à un serveur DNS pour connaître l’IP correspondante, puis accède au serveur associé à cette IP pour récupérer le contenu.

Or, par défaut, cette requête DNS n'étant pas chiffrée (même pour les sites en HTTPS), d'autres appareils peuvent collecter ou altérer ses données en cours de route. Aux États-Unis, en exploitant cette technique, les opérateurs peuvent légalement enregistrer tout l'historique de navigation de leurs clients et exploiter ces données pour distribuer des publicités ciblées. Pour empêcher cela, Mozilla déploie DoH, qui permet à Firefox d'effectuer les requêtes DNS via une connexion HTTPS chiffrée, qui n'est donc pas lisible par les curieux.

Bien que cette fonctionnalité apparaisse comme bénéfique pour la confidentialité des internautes, elle est vivement critiquée par des experts (mais pas tous) pour plusieurs raisons. Notez que vous pouvez depuis toujours choisir un autre résolveur DNS que celui de votre FAI (et ainsi profiter de DoH), et ce au niveau du système d'exploitation. Ce qui créé notamment la polémique ici, c'est le fait que Mozilla change automatiquement le réglage par défaut de nombreux utilisateurs.

Dans un billet de blog intitulé « désactive DoH Firefox, maintenant » publié en septembre dernier, l'hébergeur suisse Ungleich souligne par exemple que cette fonctionnalité revient à confier un pouvoir immense à Cloudflare (une entreprise américaine), puisque c'est cet acteur qui va être chargé de « résoudre » les requêtes DNS de tous les utilisateurs de Firefox, à la place de leurs différents opérateurs.

La fondation Mozilla se défend aujourd'hui de cette centralisation en faisant valoir qu'il y a deux résolveurs de DNS au choix, Cloudflare et NextDNS, et qu'elle s'emploie à ajouter de nouveaux prestataires fiables à son programme.

Sur un autre plan, DoH permet d'outrepasser les configurations réseau mises en place dans les entreprises, par exemple. Une problématique à laquelle Mozilla répond en indiquant qu'il est facile pour un administrateur système de désactiver cette fonctionnalité.

La fondation marche sur des œufs et n'a prévu d'activer par défaut DoH qu'aux États-Unis pour le moment, et ce de façon progressive. Néanmoins, vous pouvez d'ores et déjà activer manuellement DoH si vous le souhaitez dans les options de Firefox (Préférences > Général > Paramètres réseau > Activer le DNS via HTTPS). Les requêtes DNS de Firefox ne seront alors plus traitées par votre résolveur habituel (le plus souvent votre opérateur), mais par Cloudflare ou NextDNS.

avatar YuYu | 

Du coup si je me sers des DNS de Cloudflare pour tous mes appareils (1.1.1.1 et 1.0.0.1 de memoire), c’est-ce que mes requêtes DNS sont également chiffrées (en utilisant Safari) ?

avatar Nicolapps | 

@YuYu

Vraisemblablement non, il semble falloir installer des logiciels spécifiques.

https://1.1.1.1/help permet de diagnostiquer la connexion. De mon côté, j’utilise 1.1.1.1 mais pas avec DoH.

avatar JokeyezFX | 

Cool! Je viens d’essayer cette configuration directement sur ma connexion iPhone/box wifi à la maison, j’espère que ça fonctionnera au moins aussi bien qu’avant que je ne règle ça!

avatar fousfous | 

J'imagine que pour safari on va devoir chercher soit même comment faire.

avatar jacobinet | 

Les DNS de CloudFlare configurés sur macOS : dans les Préférences Système, ouvrez le panneau Réseau, puis cliquez sur le bouton « Avancé » correspondant à votre connexion actuelle ; dans l’onglet DNS, saisissez les deux IP données par CloudFlare (1.1.1.1 en premier et 1.0.0.1 en deuxième)

avatar totoguile | 

à noter que google Chrome peut aussi supporter cette fonction : "about://flags" et rechercher "DNS" pour activer la fonction

avatar damien.thg | 

Moi j’utilise Pi-Hole sur mon réseau local avec les dns de l’asso FDN.

Rien à paramétrer sur les périphériques du coup.

avatar SLV17000 | 

@damien.thg

C’est la meilleure des solutions.
Moi qui suis chez Orange la Livebox 5 (et 4) ne permettant pas de changer les DNS c’est la solution que j’utilise et elle permet également de zapper les publicités sans extensions sur les navigateurs.
Excellent choix 👍

avatar hercut | 

Il me semble, à moins que je dise des bêtises, que Cloudflare n’est pas forcément un DNS à utiliser, car déjà il est américain ...
Nous avons de très bons resolveur de DNS en France.
Exemple :
https://www.ffdn.org/wiki/doku.php?id=documentation:dns_federes

https://www.fdn.fr/actions/dns/
Ou
https://www.arn-fai.net/recursif

Et bien d’autres ;)

avatar nespresso92 | 

@hercut

Oui mais selon leurs dires pas de log sur la navigation.
De plus, leur datacenter pour les requêtes est situé en France.
Pour finir c’est un, pour ne pas dire, le plus rapide sur le marché actuellement.

avatar hercut | 

@nespresso92

Ça reste une entreprise Américaine avec donc malheureusement tous les défauts.

Si c’est no log ça passe un peu mieux mais c’est certifié ?

Je préfère confier mes données à une petite communauté grandissante avec de vrai politiques de confidentialité et envie surtout de promouvoir un internet libre.

Et pour la vitesse, je trouve que c’est comme comparer une BM et Merco ... et à quelque chose près ça ne change pas grand-chose, il faut aussi prendre en compte le navigateur la configuration et la connexion ainsi que le Ping de l’utilisateur. Et là jeudi probablement une bêtise.
Personnellement je n’ai jamais vu de différence vraiment fondamental qui peut changer ma vie dans l’utilisation d’un DNS ultra rapide.

avatar nespresso92 | 
avatar moua | 

@hercut

Il y a parfois une légère différence en Afrique/Asie/pacifique/Amérique latine.

Mais en Europe/France, tous les gros fournisseurs dans ont des serveurs et la différence est du coup minime.

avatar benji99 | 

On sait que nos opérateurs utilisent une partie de notre abonnement box pour payer leurs serveurs DNS. S’ils ne tracent rien et ne revendent aucune données alors comment cloudfare et nextdns gagnent ils de l’argent ? Il faut bien payer à un moment donné pour faire tourner leur serveurs DNS + consommation ressources supplémentaires pour le chiffrement SSL.

avatar Lemmings | 

@benji99 : cloudflare propose bien d'autres services gratuits et payants. Principalement la gestion de CDN (content delivery Network) qui permet une mise en cache des données des sites dans différents serveurs du monde pour éviter d'envoyer les requêtes aux serveurs d'origine qui hébergent le site Web. Cela permet de répondre à une demande forte sans avoir besoin de toute la bande passante et donc de garantir une disponibilité à moindre coût.

avatar Sometime | 

@benji99

Il me semble qu’ils ont d’autres activités facturées pour les entreprises, business et particuliers.

Après même si il n’y a pas de logging spécifique, je pense qu’avoir accès a une part des requêtes DNS, meme agrégées ou anonymisees reste en soi deja une banque de donnée fortement appréciable, notamment au vu de leurs autres activités...

Prenons l’exemple de google et de leurs serveurs DNS, connaitre les détails des requêtes DNS, donc des demandes et des réponses, donne de ce que l’on pourrait comparer a une sorte de représentation ultra-pixelisees de l’utilisation d’internet a un instant t. On peut aisément imaginer ce que cela a de stratégique pour un fournisseur de contenus et un moteur de recherche.

Bref c’est en soi je pense une somme d’information particulièrement intéressante...

avatar vince29 | 

Bof. On a déjà vu le même FUD il y a presque un an avec Chrome vs BT + gouvernement britannique qui s'inquiétait de la possibilité de bypasser les filtres placés au niveau du Dns pour notre 'sécurité'.

avatar vincentn | 

Plusieurs choses :

— Sauf cas spécifique (j’y reviendrai), cette gestion devrait être du seul ressort de l’OS, et non d’un navigateur.

— DoH apporte une fausse sécurité. Cela masque les requêtes DNS, pas le reste. Il devrait être couplé à d’autre mécanismes, jamais utilisé seul.

— Cela développe et conforte un peu plus la centralisation du web, surtout vu les choix par défaut proposés par les navigateurs. Mettriez-vous tout vos œufs dans le même panier, qu’une seule et même entreprise sache et trace quasiment toute votre activité sur le web ? Cloudflare et Google, les deux plus gros sur ce secteur, contrôlent déjà, par ailleurs, de gros pans du web.
Les navigateurs proposent en choix, que ces gros opérateurs (plus NextDNS). Pire, Firefox active cette fonctionnalité par défaut, aux Etats-Unis pour l’instant.
Une majorité d’usagers va donc se retrouver avec une centralisation de leurs requêtes DNS, outrepassant les règles établies au niveau de l’OS.
Seule une minorité, un peu au fait des choses, sera capable d’agir là-dessus.

Alors pourquoi changer de resolveur DNS ?
— Pour outrepasser certains blocages ou ralentissement causés par nos FAI ou par une décision de justice dans un pays donné. L’OS gère cela.
— Masquer ses requêtes. Utiliser alors un resolveur de confiance, qui propose toutes les sécurités et garanties.
Nos OS gèrent cela très bien.

Pourquoi utiliser la fonctionnalité proposée par ces navigateurs ? Je n’y vois qu’un seul cas.

Quand vous utilisez une machine sur lequel vous n’avez pas le contrôle des DNS, comme un ordinateur en entreprise, etc. et sur laquelle vous avez besoin d’accéder à des sites bloqués ou ralentis par cette organisation. Cela va certes faire enrager les admins réseaux (risques sécuritaires…), mais cela peut être utile (cela l’est pour moi, dans le cadre de mon métier)

avatar ErGo_404 | 

Par principe, le système DNS est centralisé, que ça soit au niveau de l'OS ou du navigateur.

Pourquoi ne pas faire confiance à l'OS? parce que l'OS ne gère peut-être pas encore les requêtes DNS chiffrées, tout simplement. Le FAI n'a pas besoin de maîtriser le serveur DNS pour logguer toute l'utilisation d'un client, donc changer de DNS au niveau de l'OS ne changera rien à la collecte de données.

Ensuite, les "résolveurs de confiance" me font bien marrer. Nous nous fions TOUS à des résolveurs que nous ne connaissons pas. Tout ce qu'on voit, c'est les efforts de communication des uns et des autres pour nous vendre de la sécurité, de la vitesse, ou de la confidentialité, mais en pratique, qui peut bien vérifier que cette communication dit la vérité ?

avatar koko256 | 

@vincentn

— Sauf cas spécifique (j’y reviendrai), cette gestion devrait être du seul ressort de l’OS, et non d’un navigateur."

La requête DNS n'est pas un appel système. Pourquoi le DNS serait plus de ressort du système que l'envoi d'un email en SMTP.

— DoH apporte une fausse sécurité. Cela masque les requêtes DNS, pas le reste. Il devrait être couplé à d’autre mécanismes, jamais utilisé seul.

La sécurité c'est tout sécuriser. Cet argument est infondé. Il est clair qu'il faut coupler avec au minimum du HTTPS et au mieux du TOR mais ne pas le mettre est idiot.

— Cela développe et conforte un peu plus la centralisation du web, surtout vu les choix par défaut proposés par les navigateurs.

Non. Il suffit d'attendre que tous les serveurs DNS soient compatibles DoH.

— Pour outrepasser certains blocages ou ralentissement causés par nos FAI ou par une décision de justice dans un pays donné. L’OS gère cela.

Non. Si le FAI bloque le DNS, l'OS n'y peut rien. Par contre il ne peut pas bloquer l'https. Il peut éventuellement bloquer certains sites mais c'est plus difficile pour les FAI/gouvernement de maintenir la liste des serveurs DoH en plus des proxy https, shadowsocks...

— Masquer ses requêtes. Utiliser alors un resolveur de confiance, qui propose toutes les sécurités et garanties.
Nos OS gèrent cela très bien.

Une fois encore, je ne vois pas en quoi l'OS y peut quelque chose fasse aux restrictions du FAI. Il peut bloquer les requêtes non sécurisé avec ses ACL mais c'est assez limitant.
Ajouter des fonctionnalités spécifiques aux navigateurs est une bonne chose car la navigation web est selon moi une activité à part où l'on veut de temps en temps changer ses habitudes sans toucher aux réglages de l'OS.

avatar Lise | 

Je partage les avis précédents, pourquoi faire davantage confiance à de grosses entreprises américaines plutôt qu'à nos FAI ?

En réponse à vincentn
"Pourquoi utiliser la fonctionnalité proposée par ces navigateurs ? Je n’y vois qu’un seul cas."

A moins qu'il n'y ait d'autres enjeux financiers, négociés par Firefox ? Comme Apple qui définit Google comme moteur de recherche par défaut, tout en prônant le droit protection de la vie privée ? ;-)

avatar Filou53 | 

A quand un eBook MacG sur le sujet
pour donner une vue d'ensemble de toute cette problématique ?
Et pas des bribes par-ci par-là, difficile à regrouper et surtout à digérer par un béotien en la matière comme moi ?
Il va sans dire que je suis prêt à payer l'eBook en question ;-)

avatar Crist'o (non vérifié) | 

Petite question naïve... dans un tunnel VPN, la résolution DNS est-elle effectuée par le fournisseur du service VPN ou par le FAI ?

avatar Sometime | 

@Crist'o

C’est loin d’être une question si naïve si vous voulez mon avis. Et la réponse que je donnerais, c’est: ça dépend.

Souvent pour des raisons de confidentialité, la plupart des fournisseurs VPN proposent leurs propres serveurs DNS et donc la requête peut être envoyée et traitée par les-dits serveurs. Mais on peut aussi envisager le cas ou les requêtes empruntent le VPN pour être traitées par des serveurs tiers ( pourquoi pas même ceux du FAI initial). Ou alors le cas où elles n’empruntent même pas le tunnel. Et probablement d’autres choses biscornues.

En fait en fonction du service VPN, du clients VPN, de la plateforme, de la technologie utilisée, et caetera... et des limites, des configurations appliquées et des bugs de tous les éléments précédents... et enfin du but recherché, beaucoup de cas de figure sont possibles.
Dans celui, assez classique du particulier qui cherche à chiffrer un peu plus son traffic et a gagner une certaine forme de discrétion, oui la plupart du temps les requêtes passent par les serveurs proposés par l’opérateur du VPN. Mais cela reste une question de configuration et d’implémentation.

Ainsi donc parfois, volontairement ou non les requêtes suivent d’autres chemins ou vont vers d’autres destinations. Si c’est involontaire on parle de fuite DNS, et ca peut mener a une fuite d’information, ou une résolution DNS qui ne sera pas celle escomptée ( ce qui peut amoindrir l’intérêt du-dit VPN). Cela s’est vu par exemple a cause de la gestion des DNS par l’OS, ou une mauvaise gestion de l’IPv6, ou encore des bugs dans le client utilisé.

Bref vaste sujet, j’espère vous avoir fourni quelques éléments approximatifs de réponse et donc en bref, ça dépend, et d’ailleurs je dépasse.

avatar Crist'o (non vérifié) | 

@Sometime

Merci beaucoup pour cette réponse détaillée.

Dans ma configuration, j utilise les services de ProtonVPN et, après quelques recherches, il ressort que le service DNS est propre à chaque serveur VPN du réseau Proton. Confirmé par ceci https://browserleaks.com/ip où je constate que l IP des serveurs DNS est identique à celle du serveur VPN Proton auquel je suis connecté.

S agissant des « fuites » DNS possibles, je pense que cette fonctionnalité proposée par ProtonVPN y répond. Je cite ...
« DNS Leak Prevention
ProtonVPN doesn't just protect your browsing traffic, we also protect your DNS queries. By routing your DNS queries through the encrypted tunnel and not relying on third-party DNS providers, we ensure that your browsing activity cannot be exposed by leaks from DNS queries. »

Enfin, si j ai bien compris, parmi les options alternatives de configuration... et pour utilisateurs avancés... Proton donne aussi la possibilité d installer le service OpenVPN sur un routeur domestique où on aura la possibilité d y configurer son DNS préféré (et de confiance ?), en substitution du DNS proposé par défaut par le fournisseur du service (18.8.8.1 dans le cas de Proton).

J y vois un peu plus clair. Merci.

CONNEXION UTILISATEUR