Options Mon compte Next INpact
Affichage
Modifications sauvegardées
  • Smileys
  • Images
  • Commentaires par actu
  • Commentaires sous les news
  • Désactiver la version mobile
  • Taille de police
Close

Vous consultez la version mobile de ce contenu.

Cliquez ici pour être redirigé vers la version complète, ou attendez 5 secondes. Fermez ce pop-up pour continuer sur la version mobile.

5
secondes

Mozilla teste ce protocole depuis 2017 et en a introduit le support dans Firefox 60, il y a plus d’un an. Désormais, l’éditeur est prêt à passer à la phase suivante.

DNS-over-HTTPS (DoH) est pour rappel une méthode de protection pour la résolution DNS qui, par défaut, n’est pas chiffrée ou protégée des regards. DoH ne chiffre pas les requêtes, mais les cache en les déguisant en trafic HTTPS classique. Ces requêtes peuvent être chiffrées, mais c’est le travail d’un autre protocole, DNS-over-TLS (DoT).

Mozilla va donc activer le protocole chez un petit nombre d’utilisateurs aux États-Unis dans le courant du mois. Si le test se passe bien, le déploiement continuera, très progressivement. L’utilisation du DoH n’est pas en effet sans poser problème.

Les serveurs DNS doivent en effet être compatibles, et Mozilla a décidé de passer par les résolveurs de Cloudflare pour s’occuper de ces opérations. Il s’agit de la configuration par défaut, mais l’utilisateur est libre de modifier ce paramètre.

De fait, la gestion du DNS est transférée du système d’exploitation au navigateur, créant une problématique inédite : les services de sécurité basés sur l’analyse DNS ne peuvent plus fonctionner. Inédite parce que la conséquence n’est plus le fruit de l’installation volontaire d’un produit spécifique comme un VPN, mais d’une configuration par défaut dans un logiciel grand public.

De nombreux produits deviennent inopérants avec DoH : les filtres DNS en entreprise, les outils de contrôle parental, une partie des fonctions des antivirus, les pare-feux et ainsi de suite.

La bascule fait tellement peur qu’elle avait poussé en juillet l’Internet Services Providers Association (ISPAUK) au Royaume-Uni à ranger Mozilla dans la catégorie des « méchants d’Internet ». Raison principale invoquée : l’impossibilité de lutter contre la pédopornographie.

En juillet également, le monde découvrait le premier malware à se servir de DoH pour ses propres sales besognes, cachant d’autant mieux son activité.

Mozilla est au courant de ces problèmes et travaille déjà sur des solutions. Par exemple, désactiver DoH quand une solution de contrôle parental est détectée. Les FAI pourraient en outre fournir une liste de domaines bloqués, pour lesquels Firefox couperait automatiquement sa protection, ne permettant alors plus de court-circuiter ledit blocage.

Mais même si Firefox s’est attiré en premier les foudres d’un certain nombre d’acteurs, le phénomène n'est pas prêt de disparaître : Chrome va faire de même avec sa version 78 le mois prochain, là encore pour un très petit nombre d’utilisateurs. Les compromis ne font que commencer.


Chargement des commentaires
À découvrir dans #LeBrief