Dans sa version\u00a083, le navigateur Chrome introduit une nouveaut\u00e9 majeure, \u00e0 savoir le \u00ab\u00a0DNS s\u00e9curis\u00e9\u00a0\u00bb<\/a>. Cette fonction permet de chiffrer les requ\u00eates DNS (Domain Name System) et elle est activ\u00e9e par d\u00e9faut si le fournisseur d\u2019acc\u00e8s Internet le propose. Apr\u00e8s Firefox<\/a>, c\u2019est le deuxi\u00e8me grand navigateur \u00e0 int\u00e9grer cette technologie. \u00c9tant donn\u00e9 ses parts de march\u00e9, il va probablement contribuer \u00e0 un blindage g\u00e9n\u00e9ralis\u00e9 de ce protocole qui est l\u2019un des piliers du web.<\/p>\n En effet, le DNS, c\u2019est un peu l\u2019annuaire du web. Il permet d\u2019obtenir l\u2019adresse IP d\u2019un serveur web \u00e0 partir d\u2019un nom de domaine. Le protocole utilis\u00e9 est \u00e0 la fois hi\u00e9rarchique et r\u00e9cursif. Le navigateur va d\u2019abord interroger le serveur DNS du fournisseur d\u2019acc\u00e8s Internet. S\u2019il ne trouve pas la r\u00e9ponse dans son cache, la requ\u00eate est envoy\u00e9e aux serveurs racine du DNS, puis transf\u00e9r\u00e9e selon un principe de d\u00e9l\u00e9gation aux registres concern\u00e9s avant d\u2019atterrir sur le serveur DNS du site en question.<\/p>\n Le probl\u00e8me, c\u2019est que toutes ces requ\u00eates DNS passent en clair sur Internet. Quelqu\u2019un peut donc les intercepter et savoir quels sites on visite en temps r\u00e9el. Cela ouvre donc la porte \u00e0 une surveillance de masse. Ces requ\u00eates peuvent \u00e9galement \u00eatre modifi\u00e9es \u00e0 la vol\u00e9e. Un pirate peut alors aiguiller l\u2019internaute sur un faux site v\u00e9rol\u00e9 et, par exemple, faire une tentative de phishing ou diffuser un malware.<\/p>\n En ajoutant une couche de chiffrement, non seulement les donn\u00e9es DNS ne peuvent plus \u00eatre lues ou modifi\u00e9es, mais en plus on est certain d\u2019\u00eatre en relation avec le bon serveur DNS. \u00ab\u00a0Le DNS est le dernier grand protocole du web qui ne soit pas encore chiffr\u00e9 et il faut qu\u2019il le soit. C\u2019est d\u2019autant plus important que les requ\u00eates DNS voyagent beaucoup plus que les requ\u00eates HTTP par exemple, en raison des multiples serveurs DNS qui constituent ce syst\u00e8me\u00a0\u00bb<\/em>, nous explique St\u00e9phane Bortzmeyer, ing\u00e9nieur r\u00e9seau.<\/p>\n Il existe deux standards de chiffrement du DNS approuv\u00e9s officiellement par l\u2019organisme IETF\u00a0: DNS-over-HTTPS (DoH) et DNS-over-TLS (DoT). Dans les deux cas, les donn\u00e9es DNS sont chiffr\u00e9es entre le terminal et le r\u00e9solveur au moyen du protocole TLS. Celui-ci assure la confidentialit\u00e9, l\u2019int\u00e9grit\u00e9 et l\u2019authenticit\u00e9 des informations. La diff\u00e9rence, c\u2019est qu\u2019avec DoH, les requ\u00eates DNS chiffr\u00e9es sont encapsul\u00e9es dans des flux HTTP. D\u2019un point de vue technique, DoT est plus clean et plus rapide, car les \u00e9changes se passent seulement au niveau de la couche r\u00e9seau. Avec DoH, \u00e0 l\u2019inverse, on fait \u00e9galement intervenir la couche applicative du web. Les ing\u00e9nieurs, qui d\u00e9testent le superflu, pr\u00e9f\u00e8rent g\u00e9n\u00e9ralement la variante DoT.<\/p>\n Et pourtant, les navigateurs web tels que Firefox et Chrome ont choisi DoH. Pourquoi\u00a0? Car les \u00e9changes DoT utilisent un port sp\u00e9cifique, \u00e0 savoir\u00a0853. Ils peuvent donc facilement \u00eatre d\u00e9tect\u00e9s et bloqu\u00e9s par un acteur malintentionn\u00e9. Les \u00e9changes DoH, de leurs c\u00f4t\u00e9s, utilisent le port\u00a0443, comme tous les autres flux HTTPS. Noy\u00e9s dans la masse, ils sont donc beaucoup plus difficiles \u00e0 d\u00e9tecter et bloquer. \u00ab\u00a0Le DoT est plus rationnel, car il ne dispose pas de la couche applicative. Mais le DoH est plus pragmatique, car il passe partout\u00a0\u00bb<\/em>, r\u00e9sume St\u00e9phane Bortzmeyer.<\/p>\n L\u2019arriv\u00e9e du DoH dans les navigateurs web n\u2019est pas sans provoquer quelques remous. En 2019, une association de FAI britannique a trait\u00e9 Mozilla de \u00ab\u00a0m\u00e9chant\u00a0\u00bb, estimant que son impl\u00e9mentation allait emp\u00eacher la censure l\u00e9gale mise en \u0153uvre par les op\u00e9rateurs dans le domaine du terrorisme, de la p\u00e9dopornographie ou du piratage audiovisuel. Le service de renseignement britannique GCHQ a \u00e9galement tir\u00e9 \u00e0 boulets rouges sur ce protocole, car il risquerait de freiner les enqu\u00eates (source: ZDnet<\/a>).<\/p>\n Ces craintes ne sont pas totalement infond\u00e9es. En Europe, la censure l\u00e9gale s\u2019appuie sur des listes noires DNS. Elles sont d\u00e9cid\u00e9es par les juges et mises en \u0153uvre par les FAI. Mais si l\u2019internaute abandonne le service de r\u00e9solution DNS de son FAI au profit d\u2019un autre, situ\u00e9 \u00e0 l\u2019\u00e9tranger par exemple, ce syst\u00e8me de censure ne fonctionne plus. La surveillance, en revanche, reste possible, car il existe toujours des informations non chiffr\u00e9es dans les \u00e9changes web qui permettent de savoir quels sites on visite.<\/p>\n C\u2019est le cas par exemple du champ SNI (Server Name Indication) dans le protocole TLS, qui affiche le nom de domaine visit\u00e9 en clair tout au d\u00e9but de la phase de connexion. Certes, des travaux sont en cours pour chiffrer \u00e9galement cette donn\u00e9e, mais si c\u2019est le cas, votre op\u00e9rateur conna\u00eetra quand m\u00eame l\u2019adresse IP du site web visit\u00e9. Et donc aussi l\u2019agence de renseignement si elle lui demande. Bref, avec le chiffrement du DNS, la surveillance devient moins facile, mais elle reste toujours largement faisable. Les dissidents politiques dans les pays autocratiques devront donc continuer \u00e0 utiliser d\u2019autres outils tels que Tor ou les VPN pour se prot\u00e9ger.\u00a0<\/p>\n Une autre critique qui a \u00e9t\u00e9 formul\u00e9e est celle de la centralisation. En choisissant Cloudflare comme service DoH par d\u00e9faut dans Firefox, Mozilla favoriserait la cr\u00e9ation d\u2019un monopole ou oligopole du DNS. \u00ab\u00a0Il est absurde de mettre cela sur le dos de la technologie DoH. Il suffit de cr\u00e9er un choix suffisamment large pour \u00e9viter cela\u00a0\u00bb<\/em>, estime St\u00e9phane Bortzmeyer.<\/p>\n A noter, par ailleurs, qu\u2019il n\u2019y pas que les navigateurs qui int\u00e8grent le chiffrement du DNS. Les syst\u00e8mes d\u2019exploitation ont \u00e9galement pris ce train en marche. Android propose ainsi le DoT depuis la version\u00a09. Le DoH, de son c\u00f4t\u00e9, a fait r\u00e9cemment son apparition dans la version exp\u00e9rimentale de Windows\u00a010. Ainsi, toutes les applications qui tournent sur ces syst\u00e8mes peuvent profiter de cette nouvelle protection, et pas seulement les navigateurs.<\/p>\n Enfin, soulignons que choisir un service DNS chiffr\u00e9 est tout aussi compliqu\u00e9 que de choisir un VPN. Ce n\u2019est pas parce qu\u2019on utilise le chiffrement que les r\u00e9ponses DNS envoy\u00e9es par le prestataire s\u00e9lectionn\u00e9 sont honn\u00eates et non manipul\u00e9es. C\u2019est avant tout une question de confiance. Vouloir \u00e9chapper \u00e0 la surveillance de son FAI est compr\u00e9hensible, mais est-ce que l\u2019herbe est vraiment plus verte chez Google et Cloudflare\u00a0? Vaste dilemme\u2026<\/p>\n<\/p><\/div>\n![\"\"\/](\"https:\/\/img.bfmtv.com\/c\/0\/708\/c5a\/b38f9efe34e02a4b6626071257557.jpg\")
\n –
\n <\/figcaption><\/figure>\n![\"\"\/](\"https:\/\/img.bfmtv.com\/c\/0\/708\/37a\/3c9563f8aa19e785cf1a35ce34305.jpg\")
\n –
\n <\/figcaption><\/figure>\nFin de la surveillance de masse?<\/h3>\n