Aux États-Unis, Mozilla a décidé d'activer par défaut un réglage appelé DNS via HTTPS pour toute sa communauté. L'option peut aussi être utilisée en France. Mais de quoi s'agit-il ? Numerama vous propose une foire aux aux questions pour éclairer le sujet.

Qu’est-ce qu’annonce Mozilla ?

Dans un billet de blog publié le 25 février, Mozilla annonce que le paramètre « DNS via HTTPS » est désormais activé par défaut pour les personnes localisées aux États-Unis qui utilisent le navigateur Firefox pour aller sur le web. L’organisation prévoit en fait d’étaler l’activation de ce réglage sur plusieurs semaines, afin d’y aller progressivement et de veiller à ce qu’aucun pépin technique majeur ne survienne.

Il s’agit d’un chantier ancien. Le 1er juin 2018, Mozilla dévoilait ses intentions en faisant observer que le DNS, acronyme de Domain Name System, « est l’un des éléments les plus anciens de l’architecture d’Internet, et reste un élément qui a été largement épargné par les efforts visant à rendre le web plus sûr et plus privé », contrairement à d’autres portions, comme le chiffrement des liaisons entre les sites et les internautes.

DNS over HTTPS
L’adresse visitée devient confidentielle grâce au DNS via HTTPS. // Source : Mozilla

Qu’est-ce que le Domain Name System ?

Le système de noms de domaine (DNS, pour Domain Name System) consiste à faire correspondre des adresses IP à des noms de domaine. Il est en effet plus facile de manipuler une suite de caractères comme www.numerama.com que l’adresse IP du serveur du site. Grâce à ce mécanisme, les adresses web sont bien plus compréhensibles et utilisables pour le tout venant.

Le DNS est indispensable, car il n’est pas possible de se passer des adresses IP (IP pour Internet Protocol), celles-ci servant justement de plaques d’immatriculation de façon à distinguer les serveurs des uns des autres. Il faut se souvenir qu’Internet est un réseau informatique interconnectant des millions de réseaux et de serveurs. En conséquence, ils doivent avoir tous un numéro unique.

Et le HTTPS alors ?

Le HTTPS est un sigle (HyperText Transfer Protocol Secure) qui signale à l’internaute que sa connexion entre son navigateur web et le site qu’il est en train de visiter est sûre. Cette sécurité est généralement symbolisée, outre la présence du « s », par un cadenas fermé, qui peut être de couleur verte ou non. Sinon, c’est du simple HTTP. Le cadenas est alors ouvert ou barré, pour prévenir des risques encourus.

Le HTTPS est indispensable pour la consultation de certains sites dont les informations peuvent être sensibles ou compromettantes. On peut citer la banque, les réseaux sociaux, la messagerie électronique, les impôts ou encore les achats sur des sites commerçants. Le HTTPS est assez peu répandu au début des années 2010, mais les révélations d’Edward Snowden lui ont donné un sacré coup d’accélérateur.

HTTPS connexion liaison sécurisée chiffrement
Le symbole d’une connexion sécurisée, un cadenas fermé. // Source : Sean MacEntee

DNS via HTTPS ?

L’idée du paramètre DNS via HTTPS (DNS over HTTPS, ou DoH) est donc d’appliquer le principe de la cryptographie sur le système de noms de domaine, afin d’empêcher un tiers de lire les requêtes DNS et les réponses qui sont retournées à l’internaute. De cette façon, la surveillance est plus difficile, puisqu’il n’est plus possible de déterminer qui visite quel site web.

C’est ce qu’explique Mozilla : « Cela permet de cacher votre historique de navigation aux attaquants se trouvant sur le réseau et d’empêcher la collecte de données par des tiers sur le réseau qui relie votre ordinateur aux sites web que vous visitez ». En somme, le DoH vient compléter le HTTPS : le premier cache le site web que vous visitez, le second protège les données que vous échangez avec lui.

Pourquoi un tel protocole ?

Comme l’explique Stéphane Bortzmeyer, ingénieur R&D à l’AFNIC, l’organisme qui gère le nom de domaine de premier niveau attribué à la France (« .fr »), le DNS s’avère être «  le seul protocole important qui ne soit pas protégé par la cryptographie », ce qui, dans un contexte de monde post-Snowden, où la réalité de la surveillance de masse a été prouvée par le lanceur d’alerte américain, n’est plus acceptable.

Et comme le note New America, le DNS « remonte aux premiers jours du net, avant que les ingénieurs ne fassent de la confidentialité et la sécurité des points fondamentaux à inclure dans son développement. Les premiers concepteurs ont vu le net comme un outil surtout éducatif et n’ont pas anticipé les défis de cybersécurité et de vie privée auxquels nous sommes confrontés près de 40 ans plus tard ».

Quels avantages et inconvénients ?

Le DNS via HTTPS a un premier avantage évident : il complique la surveillance puisque les requêtes et les réponses entre votre ordinateur et les serveurs DNS ne sont plus envoyées en clair. Les internautes gagnent ainsi en confidentialité. Le DoH rend aussi plus difficile la censure des sites web, puisque le blocage au moyen du DNS devient plus compliqué à rendre effectif.

Mais il existe aussi des inconvénients, résumés par Stéphane Bortzmeyer sur son blog. Parmi les critiques qui ne sont pas jugées spécieuses figure celle des DNS dits menteurs : mettre de la cryptographie ne sert à rien si le DNS ne renvoie pas la bonne réponse. Il faut se servir d’un bon résolveur DNS. En outre, d’aucuns jugent que tout faire passer en HTTPS n’est pas idéal, car le net n’a pas été conçu pour fonctionner ainsi.

L’accès sécurisé aux sites grâce au chiffrement de la connexion est devenu très courant sur le web. Mais il faut aussi assurer la confidentialité des sites que l’on visite. // Source : Let’s Encrypt

Où l’activer dans Firefox ?

Si vous vous trouvez aux États-Unis, vous n’avez rien à faire : l’activation va se faire toute seule, si ce n’est pas déjà fait. Sachez toutefois qu’il est possible de forcer son utilisation dès maintenant, y compris en France. Pour cela, assurez-vous d’avoir votre navigateur à jour puis rendez-vous dans le menu « Outils », puis « Options ». Descendez tout en bas à la ligne « Paramètres réseau » et cliquez sur « Paramètres ».

Dans la nouvelle fenêtre, cochez tout en bas la ligne « Activer le DNS via HTTPS » et optez pour le fournisseur (le résolveur) qui vous convient. Vous pouvez laisser Cloudflare, qui est le service utilisé par défaut. Cliquez sur OK et le tour est joué. Mozilla considère Cloudflare comme un résolveur de confiance, tout comme l’est NextDNS. D’autres pourraient être ajoutées par la suite.

Pour vérifier si l’option est bien activée, vous pouvez vous rendre à l’adresse 1.1.1.1/help, qui est opérée par Cloudflare. Si le DoH est bien actif, vous verrez la mention « Yes » à la ligne adéquate. Mozilla précise qu’il réfléchit à étendre automatiquement le DoH à d’autres régions du monde et à inclure davantage de résolveurs de confiance. Une foire aux questions est aussi disponible sur le site de Mozilla.

L’option est à activer dans des réglages de Firefox.

Cloudflare par défaut, un bon choix ?

Cloudflare est aujourd’hui l’un des poids lourds du net : ses services sont fournis à des millions de sites web, qu’il s’agisse de se protéger contre des attaques informatiques (DDOS), d’encaisser des forts pics de connexion, de bien distribuer du contenu (via CDN), ou encore de résoudre des noms de domaine. Mozilla répond justement à la question de ce choix, qui ne fait pas l’unanimité.

En septembre, Stéphane Bortzmeyer jugeait que ce n’était « pas une bonne idée d’envoyer tout le trafic DNS à Cloudflare » (car par défaut, c’est lui qui est utilisé et tout le monde ne changera pas ce réglage). Mais il notait aussi que « ce n’est pas parce qu’on n’aime pas Cloudflare qu’il faut maintenir le statu quo et continuer à envoyer ses requêtes DNS au résolveur fourni par le réseau d’accès ».

Mieux vaut un DoH imparfait que pas de DoH du tout… en attendant qu’il y ait davantage de résolveurs de confiance pris en compte. C’est ce que pointe aussi Tavis Ormandy, un spécialiste en sécurité informatique  chez Google. « Cloudflare est problématique. Mais il n’y a aucune raison de penser qu’ils ne sont pas respectueux de la loi, et Mozilla a négocié un contrat. De plus, il est prévu d’ajouter d’autres résolveurs ».

Dans sa FAQ, l’organisation annonce qu’elle ne perçoit aucune somme d’argent pour faire passer les requêtes DNS via Cloudflare. De plus, la monétisation des données est interdite « explicitement ». Cloudflare a par ailleurs « été en mesure de répondre aux exigences strictes de la politique que nous avons instaurées », qui sont inscrites dans un contrat juridiquement contraignant et rendues publiques.

Qu’en est-il des autres navigateurs web ?

Firefox n’est pas le seul navigateur à basculer sur le DNS via HTTPS. Ce paramètre peut aussi être activé sur des logiciels concurrents. C’est le cas de Google Chrome et tous les programmes basés sur Chromium, c’est-à-dire Microsoft Edge, Opera, Vivaldi ou encore Brave, pointe Make Teach Easier. Pour chacun de ces logiciels, un bref guide est proposé pour en profiter immédiatement.

Parmi les absents notables figurent Internet Explorer et Safari. Dans le premier cas, on doute que la situation change, dans la mesure où IE n’est plus un navigateur dont veut s’occuper Microsoft (sauf éventuellement pour corriger une vulnérabilité critique). Il se concentre désormais sur Edge. On peut en revanche espérer que Safari, qui est édité par Apple, finisse par suivre le mouvement.

Il est à noter que des sites de tout premier plan, comme Facebook, sont eux aussi en train de pousser pour un système DNS plus sûr. Fin 2018, une publication technique intitulée « DNS via TLS : Chiffrer le DNS de bout en bout » explorait une autre approche : DoT, pour DNS over TLS. Mais les spécificités du DoT sont assez proches du DoH et les quelques écarts sont relativement secondaires.

Partager sur les réseaux sociaux