Au moins six éditeurs de navigateurs Web prévoient ou prennent déjà en charge le protocole DNS-over-HTTPS (DoH) - qui permet de chiffrer le trafic DNS et contribue à améliorer la confidentialité de l’utilisateur sur Internet - sur leurs produits. Le protocole DOH semblait initialement bénéficier du soutien exclusif de Google et de Mozilla parmi les éditeurs de navigateurs Web. Mais des sources proches du dossier suggèrent qu’en réalité, les principaux fournisseurs de navigateurs Web (notamment Microsoft, Apple, Google, et Mozilla) prévoient d’implémenter cette technologie au sein de leur navigateur Web, sous une forme ou sous une autre. Chrome, Firefox, Opera, Vivaldi, Safari, Edge et Brave sont concernés par cette annonce.
Pour rappel, le protocole DNS-over-HTTPS a été l’un des sujets d’actualité de l’année, car il donne la possibilité aux navigateurs Web de masquer les requêtes et les réponses DNS dans le trafic HTTPS d’apparence normale afin de rendre le trafic DNS d’un utilisateur invisible. Il compromet par la même occasion la capacité des observateurs tiers du réseau - tels que les FAI - à détecter et filtrer le trafic de leurs clients. En théorie, la mise en œuvre à grande échelle de cette technologie permettrait aussi de lutter plus efficacement contre l’Eavesdropping et la manipulation de DNS par des attaques de l’homme du milieu.
Tandis que les défenseurs de la vie privée et les éditeurs de navigateurs dans leur grande majorité considèrent le DOH comme une aubaine pour les utilisateurs, les fournisseurs de services Internet et les fabricants d’appareils de sécurité réseau, plus sceptiques à l’égard de cette technologie, mettent en garde contre les dangers et abus qui découleraient de la mise en œuvre de ce projet. Aux USA par exemple, les géants de l’industrie des télécommunications et de la câblodistribution soutiennent que l’initiative DoH « pourrait interférer à grande échelle avec des fonctions Internet critiques et soulever des problèmes de concurrence des données ». Ils assurent par ailleurs que l’adoption de ce protocole va les empêcher de surveiller l’activité de leurs utilisateurs et qu’elle permettra à des acteurs tels que Google de transférer des millions d’utilisateurs vers leurs propres serveurs DNS, ce qui peut conduire à une concentration dangereuse du contrôle sur le DNS.
Mozilla est à l’origine de la création du DoH avec Cloudflare. L’éditeur de Firefox va progressivement transférer l’ensemble des utilisateurs de son navigateur Web vers son système DoH maison, que le fournisseur DNS existant de ces derniers supporte ou non la nouvelle fonctionnalité. Ce mouvement fera de Cloudflare le fournisseur DNS par défaut pour les utilisateurs de Firefox, quels que soient les paramètres DNS du système d’exploitation sous-jacent.
Mozilla a établi des exigences spécifiques que les fournisseurs DNS doivent respecter pour obtenir une place dans son programme DoH. Par exemple, les résolveurs DNS doivent supprimer les données permettant d’identifier les utilisateurs dans un délai de 24 heures et ne les utiliser que « dans le but d’exploiter le service ». Par ailleurs, les fournisseurs « ne doivent pas conserver, vendre ou transférer à un tiers (sauf si la loi l’exige) des données personnelles, des adresses IP ou d’autres identificateurs d’utilisateurs ou des modèles de requêtes d’utilisateurs provenant des requêtes DNS envoyées par le navigateur Firefox ».
La politique de Mozilla interdit également de bloquer ou de filtrer le contenu sauf si les utilisateurs l’autorisent ou si la loi l’exige. Mozilla exige en outre un avis public de confidentialité qui détaille les pratiques de conservation des données du fournisseur de DNS ainsi que des rapports annuels de transparence qui documentent comment le fournisseur de DNS « traitera les demandes de données d’utilisateurs des services répressifs et qui documentera les types et le nombre de demandes reçues et auxquelles il aura répondu, sauf dans les cas où cette divulgation est interdite par la loi ».
La prise en charge de DoH est déjà disponible dans les versions stables de Firefox. Vous pouvez l’activer dans la section Paramètres du navigateur, dans la section Réseau.
Google est la deuxième organisation, après Mozilla, à avoir ouvertement affiché son soutien à l’initiative. Google mène actuellement une expérience limitée avec un petit nombre d’utilisateurs pour voir comment DoH se comporte en situation réelle. Contrairement à Firefox, qui force tout le trafic DoH vers Cloudflare par défaut, le support DoH de Chrome est différent. Une fois la fonctionnalité DoH activée dans Chrome, ce dernier enverra les requêtes DNS aux mêmes serveurs DNS qu’auparavant. Si le serveur DNS cible possède une interface compatible DoH, Chrome chiffre le trafic DNS et l’envoie vers l’interface DoH du même serveur DNS. Dans le cas contraire, il continuera à opérer comme auparant. Par ailleurs, la société a précisé que dans le cadre de cette expérience, Chrome basculera automatiquement vers le service de résolution DNS classique si le commutateur tombe en panne ou si le résolveur DoH ne répond pas en temps voulu.
En raison de la façon dont Google a implémenté le support de DoH dans Chrome, les utilisateurs de ce navigateur risquent de ne jamais pouvoir utiliser cette fonctionnalité. C’est parce que le système d’exploitation d’un utilisateur obtient ses paramètres DNS d’une autorité centrale du réseau, qui est généralement le FAI. Si ce dernier ne veut pas utiliser un paramètre DNS compatible DoH, alors vous n’aurez jamais le DoH avec Chrome. Heureusement, des solutions permettant de contourner ce problème existent. Pour activer la fonctionnalité DoH sur Chrome, rendez-vous sur : chrome://flags/#dns-over-https.
L’année prochaine, Microsoft prévoit de déployer une nouvelle version de son navigateur Web Edge architecturée autour de Chromium. La version Chromium de Edge supporte déjà DoH. Les utilisateurs peuvent l’activer en se rendant sur le site : edge://flags/#dns-over-https. Cette manœuvre activera la fonctionnalité DoH, mais cette dernière sera vraiment fonctionnelle que si votre ordinateur utilise un serveur DNS compatible DoH, ce n’est généralement pas le cas dans 99 % des cas.
Opera a déjà déployé le support DoH. La fonction est désactivée par défaut pour tous les utilisateurs, mais elle peut être activée à tout moment dans la version stable. Opera à l’avantage de ne nécessiter aucune configuration supplémentaire de la part de l’utilisateur pour utiliser le DoH, car ce navigateur utilise un résolveur DoH par défaut, similaire à Firefox, qui échappe au contrôle des FAI, comme avec Chrome. Tout le trafic d’Opera DoH est actuellement acheminé vers le résolveur DoH de Cloudflare. Il est, cependant, obligatoire de désactiver le VPN intégré d’Opera pour que le DoH fonctionne. Pour activer DoH dans Opera, rendez-vous sur : opera://flags/opera-doh.
Apple semble assez pointilleux concernant les fonctionnalités axées sur la protection de la vie privée des utilisateurs, de sorte qu’il y a de fortes chances pour que le DoH arrive sur Safari.
Un porte-parole de Vilvadi a déclaré que son soutien du DoH est étroitement lié à la mise en œuvre de Chrome. Les utilisateurs peuvent l’activer en se rendant sur le site : vivaldi://flags/#dns-over-https. Il faut cependant garder à l’esprit que l’implémentation du DoH sur Vivaldi est identique à celle qu’on retrouve sur Chrome. De ce fait, le support du DoH de Vivaldi pourrait changer à l’avenir, en fonction de la façon dont Google modifie le support DoH de Chromium.
Même si l’éditeur de Brave - une solution basée sur Chromium - n’a pas encore d’échéancier précis pour le déploiement du DoH, Tom Lowenthal, chef de produit de la division Privacy & Security chez Brave, s’est voulu clair à ce propos : « Nous voulons absolument le mettre en œuvre ». Vous pouvez activer le DoH sur le navigateur Brave en visitant l’URL suivante : brave://flags/#dns-over-https.