Oblivious DoH : avec le soutien d’Apple, Cloudflare veut renforcer la confidentialité de la navigation web

Anthony Nelzin-Santos |

Cloudflare propose un nouveau standard de résolution DNS visant à renforcer la confidentialité de la navigation web. Conçu avec le renfort d’ingénieurs d’Apple et du fournisseur de cloud Fastly, Oblivious DoH (ODoH) dissocie la requête de l’adresse IP, empêchant le serveur DNS de suivre le fil de la navigation.

Image Cloudflare.

Le système DNS est souvent décrit comme un annuaire : lorsque vous entrez l’adresse macg.co, votre navigateur contacte le serveur DNS de votre opérateur, qui contacte lui-même le serveur du domaine de premier niveau national colombien. Celui-ci répond avec notre adresse IP principale, 91.121.49.215, vers laquelle votre navigateur peut maintenant se diriger.

Cette description ignore les subtilités de la hiérarchie des serveurs DNS, des systèmes de cache, ou encore des serveurs récursifs, mais suffit à comprendre l’intérêt du système. De la même manière qu’un annuaire associe le nom et l’adresse d’une personne, le système associe le nom de domaine et l’adresse IP d’un site.

Elle suffit aussi à comprendre le problème soulevé par l’absence de chiffrement des communications avec les serveurs DNS, et la relative simplicité des données échangées. Conçu à une époque où les ressources étaient limitées, le système DNS repose largement sur la confiance dans les acteurs impliqués.

Une confiance maintes fois abusée, notamment par les mécanismes d’empoisonnement du cache DNS, ou plus simplement par les « DNS menteurs » permettant aux opérateurs de détourner certaines requêtes. Ces attaques ont justifié la conception des protocoles DNS over HTTPS (DoH) et DNS over TLS (DoT), qui limitent le risque de manipulation en faisant passer les requêtes DNS par des protocoles sécurisés.

Ces nouveaux protocoles sont intégrés à Firefox et aux dernières versions des systèmes d’Apple, mais sont encore très rarement employés par les serveurs DNS. Cloudflare est leur principal partisan par l’intermédiaire de son service 1.1.1.1. Or avec son réseau de distribution de contenu et ses services de sécurité, l’entreprise américaine occupe une place centrale dans l’architecture du web.

Même si elle assure « être conçue pour être toujours joignable avec des centres de données dans plus de cent pays », elle est devenue un point de défaillance unique, dont la moindre panne entraine des millions de sites dans son sillage. Et quand bien même elle se présente en chantre « de la vie privée de l’utilisateur », Cloudflare représente de facto un risque de sécurité.

D’une certaine manière, ODoH vise à l’empêcher de renier ses promesses. Même avec des communications chiffrées, les serveurs DNS peuvent toujours relier une requête à une adresse IP, et ainsi suivre le fil de la navigation d’un utilisateur. Avec ODoH, un serveur mandataire (proxy) régit les communications.

Comme avec DoH, le client chiffre sa requête, mais au lieu de l’envoyer directement au serveur DNS, il la transmet au proxy. Cet intermédiaire relaie la requête, qu’il ne peut pas déchiffrer, au serveur DNS. Le serveur DNS reçoit la requête et l’adresse IP du proxy, mais pas l’adresse IP du client.

Image Cloudflare.

Ainsi, le proxy connait l’adresse IP du client mais pas sa requête, et le serveur DNS connait la requête du client mais pas son IP. Les deux informations sont découplées, les communications sont chiffrées, et les possibilités de détournement sérieusement réduites. ODoH est un peu plus lent que DoH, mais plus rapide qu’une requête DoH via le réseau Tor.

Cloudflare prend d’ores et déjà en charge ODoH, trois entreprises assurant le rôle de proxy (PCCW, SURF, et Equinix). L’implication d’une équipe d’ingénieurs travaillant pour Apple semble assurer une future intégration dans macOS et iOS, mais la standardisation et la généralisation d’ODoH pourraient prendre plusieurs années, pour autant qu’il soit standardisé.


avatar Adodane | 

Et pourquoi je donnerais mes requêtes dns à un serveur étranger non soumis à la CNIL ?

avatar roccoyop | 

@Adodane

J’ai toujours changé mes dns standards des opérateurs par de plus performants et plus soucieuses de la vie privée des personnes. Je ne parle surtout pas du service que Propose Google. 😱🤯😱

Et puis ça a son petit avantage de pouvoir voir les sites dont notre cher gouvernement nous interdit l’accès.

avatar Adodane | 

@roccoyop

Pas moi et je navigue partout et vite !

avatar roccoyop | 

@Adodane

Parce que tu n’as jamais comparé la vitesse.

Quand on a toujours roulé en Dacia, on ne sait pas qu’on peut aller plus vite en Ferrari 😁

avatar Adodane | 

@roccoyop

J’ai juste un dns hein

avatar roccoyop | 

@Adodane

Je suis content 🙂

avatar Hideyasu | 

@roccoyop

Tu utilises quel dns si je peux me permettre ?

avatar reborn | 

@Adodane

Pour éviter que le gouv français puisse y avoir accès ?

avatar roccoyop | 

@reborn

Heu... c’est pas du tout ce que j’ai écrit.

avatar reborn | 

@roccoyop

Je répondais à Adodane

avatar scanmb (non vérifié) | 

@Adodane

Chacun fait confiance à qui il veut; pourquoi ?

avatar Oracle | 

Très intéressante initiative ! Hâte d’en voir les résultats.

avatar jb18v | 

Et du coup le proxy n’est pas le nouveau point faible ?

avatar Anthony Nelzin-Santos | 
@jb18v : pas si l'esprit du standard est respecté, et que chaque acteur joue son rôle sans empiéter sur celui des autres. Dans ce cas, le proxy connait seulement ton IP et pas ta requête, le serveur DNS connait seulement ta requête et pas ton IP, et les beaux veaux sont bien gardés. Le seul risque évident dans l'affaire, c'est une collusion entre le proxy et le serveur DNS.
avatar marc_os | 

On utilise CloudFare dans ma boîte, et on a souvent des problèmes de clients qui n'arrivent pas à se connecter à nos serveurs (via nos logiciels)...
J'ai du mal à les considérer comme fiables.

CONNEXION UTILISATEUR