DoH ! Firefox déploie aux États-Unis une fonction de confidentialité controversée

Stéphane Moussie |

En préparation depuis plus de deux ans, la fonctionnalité de DNS over HTTPS (abrégée DoH en anglais) est en cours d'activation par défaut chez les utilisateurs américains de Firefox. Bien qu'elle vise à renforcer la confidentialité des internautes, cette fonctionnalité fait l'objet de critiques.

Alors de quoi s'agit-il ? Pour rappel, DNS (pour Domain Name System), c'est, pour simplifier, une base de données qui associe un nom de domaine (par exemple en.wikipedia.org) à une adresse IP (208.80.154.224). C'est ce qui permet de ne pas avoir à se souvenir de grandes suites de chiffres pour accéder à un site web, il suffit de taper son nom.

Quand vous tapez le nom d’un site dans votre navigateur, votre appareil se connecte d’abord à un serveur DNS pour connaître l’IP correspondante, puis accède au serveur associé à cette IP pour récupérer le contenu.

Or, par défaut, cette requête DNS n'étant pas chiffrée (même pour les sites en HTTPS), d'autres appareils peuvent collecter ou altérer ses données en cours de route. Aux États-Unis, en exploitant cette technique, les opérateurs peuvent légalement enregistrer tout l'historique de navigation de leurs clients et exploiter ces données pour distribuer des publicités ciblées. Pour empêcher cela, Mozilla déploie DoH, qui permet à Firefox d'effectuer les requêtes DNS via une connexion HTTPS chiffrée, qui n'est donc pas lisible par les curieux.

Bien que cette fonctionnalité apparaisse comme bénéfique pour la confidentialité des internautes, elle est vivement critiquée par des experts (mais pas tous) pour plusieurs raisons. Notez que vous pouvez depuis toujours choisir un autre résolveur DNS que celui de votre FAI (et ainsi profiter de DoH), et ce au niveau du système d'exploitation. Ce qui créé notamment la polémique ici, c'est le fait que Mozilla change automatiquement le réglage par défaut de nombreux utilisateurs.

Dans un billet de blog intitulé « désactive DoH Firefox, maintenant » publié en septembre dernier, l'hébergeur suisse Ungleich souligne par exemple que cette fonctionnalité revient à confier un pouvoir immense à Cloudflare (une entreprise américaine), puisque c'est cet acteur qui va être chargé de « résoudre » les requêtes DNS de tous les utilisateurs de Firefox, à la place de leurs différents opérateurs.

La fondation Mozilla se défend aujourd'hui de cette centralisation en faisant valoir qu'il y a deux résolveurs de DNS au choix, Cloudflare et NextDNS, et qu'elle s'emploie à ajouter de nouveaux prestataires fiables à son programme.

Sur un autre plan, DoH permet d'outrepasser les configurations réseau mises en place dans les entreprises, par exemple. Une problématique à laquelle Mozilla répond en indiquant qu'il est facile pour un administrateur système de désactiver cette fonctionnalité.

La fondation marche sur des œufs et n'a prévu d'activer par défaut DoH qu'aux États-Unis pour le moment, et ce de façon progressive. Néanmoins, vous pouvez d'ores et déjà activer manuellement DoH si vous le souhaitez dans les options de Firefox (Préférences > Général > Paramètres réseau > Activer le DNS via HTTPS). Les requêtes DNS de Firefox ne seront alors plus traitées par votre résolveur habituel (le plus souvent votre opérateur), mais par Cloudflare ou NextDNS.

avatar Crist'o (non vérifié) | 

@Sometime

Merci beaucoup pour cette réponse détaillée.

Dans ma configuration, j utilise les services de ProtonVPN et, après quelques recherches, il ressort que le service DNS est propre à chaque serveur VPN du réseau Proton. Confirmé par ceci https://browserleaks.com/ip où je constate que l IP des serveurs DNS est identique à celle du serveur VPN Proton auquel je suis connecté.

S agissant des « fuites » DNS possibles, je pense que cette fonctionnalité proposée par ProtonVPN y répond. Je cite ...
« DNS Leak Prevention
ProtonVPN doesn't just protect your browsing traffic, we also protect your DNS queries. By routing your DNS queries through the encrypted tunnel and not relying on third-party DNS providers, we ensure that your browsing activity cannot be exposed by leaks from DNS queries. »

Enfin, si j ai bien compris, parmi les options alternatives de configuration... et pour utilisateurs avancés... Proton donne aussi la possibilité d installer le service OpenVPN sur un routeur domestique où on aura la possibilité d y configurer son DNS préféré (et de confiance ?), en substitution du DNS proposé par défaut par le fournisseur du service (18.8.8.1 dans le cas de Proton).

J y vois un peu plus clair. Merci.

Pages

CONNEXION UTILISATEUR