Les grands FAI aux États-Unis ne sont pas emballés par les projets de Google et Mozilla concernant le chiffrement DNS, deux entreprises d’Internet militant pour la mise en place du protocole DoH (DNS-over-HTTPS) sur leur navigateur respectif (Chrome et Firefox), et ils ne cachent pas leur scepticisme à l’égard de cette initiative.
En juillet dernier, l’association professionnelle des fournisseurs de services Internet (Internet Services Providers’ Association ou ISPA) du Royaume-Uni a désigné Mozilla comme l’un des finalistes du prix Internet Villain de 2019 aux côtés du président américain Trump et de l’article 13 de la directive sur le droit d’auteur. Comme l’a souligné l’ISPA, « les nominés Villain prennent en compte l’impact des nouvelles normes techniques sur les protections en ligne existantes, l’équilibre entre la liberté d’expression et le droit d’auteur en ligne et la chaîne logistique mondiale des télécommunications ».
Plus tard, dans une lettre datant du 19 septembre adressée au Congrès US, les géants de l’industrie des télécommunications et de la câblodistribution ont averti que l’initiative DoH voulue par Google « pourrait interférer à grande échelle avec des fonctions Internet critiques et soulever des problèmes de concurrence des données ». Comme leur homologue britannique de l’ISPA, les FAI des États-Unis assurent que l’adoption du protocole DoH va les empêcher de surveiller l’activité de leurs utilisateurs et qu’elle permettra à des acteurs tels que Google de transférer des millions d’utilisateurs vers leurs propres serveurs DNS, ce qui peut conduire à une concentration dangereuse du contrôle sur le DNS.
Les activités de lobbying agressives des FAI américains auprès des législateurs américains ont poussé ces derniers à demander à la firme de Mountain View de fournir de plus amples détails sur ses plans concernant le protocole DoH. La filiale d’Alphabet doit notamment expliquer si elle prévoit d’utiliser à des fins commerciales les données recueillies dans le cadre du nouveau protocole et comment elle compte mettre en œuvre cette technologie sans violer les lois sur la concurrence, sachant qu’elle fait déjà l’objet de plusieurs enquêtes où elle est suspectée de s’adonner à des pratiques antitrust.
Mozilla est récemment monté aux créneaux pour dénoncer « la campagne de diabolisation » menée à l’encontre de l’initiative DoH (DNS-over-HTTPS) qui, au final, vise simplement l’amélioration de la protection de la vie privée des internautes. L’éditeur de Firefox exhorte notamment le Congrès US à ne pas se laisser abuser par les activités de lobbying des acteurs de l’industrie du haut débit dans ce dossier, tout en s’interrogeant sur les réelles motivations de ces derniers. L’entreprise affirme que la mise à niveau de confidentialité est devenue une nécessité pour protéger les utilisateurs au vu du grand nombre d’abus commis par les FAI vis-à-vis de la gestion des données personnelles de leurs clients, citant la vente illicite de ces données, la manipulation du DNS pour le ciblage publicitaire, la surveillance de l’activité des utilisateurs, la surfacturation pour bénéficier d’une confidentialité qui devrait faire partie du package minimum…
Dans la lettre qu’elle a adressée aux présidents et membres des trois commissions mandatées par la Chambre des représentants, Mozilla estime que l’attitude des FAI à l’égard d’une fonctionnalité qui met en avant la protection de la vie privée des internautes « soulève des questions sur la façon dont ils utilisent les données de navigation Web de leurs clients ». L’éditeur de Firefox soutient par ailleurs que les FAI ont donné des informations inexactes aux législateurs. Il les encourage même à examiner publiquement les politiques actuelles de collecte et d’utilisation des données des FAI, au motif que « plus d’informations sur les pratiques des FAI pourraient être utiles au Comité dans la poursuite de ses délibérations à ce sujet ».
Marshall Erwin, manager senior de la division Trust & Security chez Mozilla et signataire de la lettre, a expliqué : « Comme on pouvait s’y attendre, notre travail sur le DoH a été la cible d’une campagne qui vise à prévenir ces mesures de protection de la vie privée et de la sécurité, comme en témoigne la récente lettre adressée au Congrès par les principales associations de télécommunications. Cette lettre contenait un certain nombre d’inexactitudes factuelles ».
Il précise que les internautes sont suivis par Google, Facebook et d’autres sociétés de publicité, mais précise que les fournisseurs d’accès à Internet ont un « accès privilégié » à l’historique de navigation des utilisateurs. Selon lui, il existe déjà « un microciblage remarquablement sophistiqué sur le Web » et « c’est une erreur d’utiliser le DNS à ces fins ». En ce qui concerne les inquiétudes des FAI vis-à-vis de l’usage abusif que pourrait faire Google de l’exploitation du DoH, Erwin assure qu’il ne s’agit que d’un leurre : « l’effort de lobbying s’est concentré sur l’utilisation de Google comme croque-mitaine, au vu des préoccupations antitrust multiples qui existent aujourd’hui, pour susciter beaucoup d’incertitude sur les implications potentielles du DNS over HTTPS ».
Les ambitions de Mozilla avec le DoH
Pour rappel, la mise en œuvre à grande échelle du protocole DoH permettrait en théorie de lutter plus efficacement contre l’Eavesdropping et la manipulation de DNS par des attaques de l’homme du milieu. Il compromet également sérieusement la capacité de nombreux FAI à détecter et filtrer le trafic de leurs clients pour maintenir un historique de navigation et isoler les « sites malveillants » désignés par les régulateurs : un rêve pour les défenseurs de la vie privée, mais un cauchemar pour les fournisseurs de services Internet et les fabricants d’appareils de sécurité réseau.
Mozilla envisage un déploiement plus agressif de cette fonctionnalité dédiée à la protection de la vie privée en ligne. Il prévoit de transférer progressivement l’ensemble des utilisateurs de Firefox vers le système DoH, que leur fournisseur de DNS existant supporte ou non cette nouvelle fonctionnalité. Ce mouvement fera de Cloudflare le fournisseur DNS par défaut pour les utilisateurs du navigateur Web Firefox, quels que soient les paramètres DNS du système d’exploitation sous-jacent. Mozilla a plus de latitude pour agir de la sorte, car la plupart des enquêtes montrent que Firefox a une part de marché à un chiffre qui est significativement moins élevée que celle de Chrome. De plus, Firefox n’est pas un fournisseur DNS majeur, contrairement à Google. Il n’y aurait donc pas de base pour un examen antitrust si Mozilla transférait ses utilisateurs vers un nouveau fournisseur DNS.
Mozilla a établi des exigences spécifiques que les fournisseurs DNS doivent respecter pour obtenir une place dans son programme DoH. Par exemple, les résolveurs DNS doivent supprimer les données permettant d’identifier les utilisateurs dans un délai de 24 heures et ne les utiliser que « dans le but d’exploiter le service ». Par ailleurs, les fournisseurs « ne doivent pas conserver, vendre ou transférer à un tiers (sauf si la loi l’exige) des données personnelles, des adresses IP ou d’autres identificateurs d’utilisateurs ou des modèles de requêtes d’utilisateurs provenant des requêtes DNS envoyées par le navigateur Firefox ».
La politique de Mozilla interdit également de bloquer ou de filtrer le contenu sauf si les utilisateurs l’autorisent ou si la loi l’exige. Mozilla exige en outre un avis public de confidentialité qui détaille les pratiques de conservation des données du fournisseur de DNS ainsi que des rapports annuels de transparence qui documentent comment le fournisseur de DNS « traitera les demandes de données d’utilisateurs des services répressifs et qui documentera les types et le nombre de demandes reçues et auxquelles il aura répondu, sauf dans les cas où cette divulgation est interdite par la loi ».
La lettre de Mozilla au Congrès déplorait le fait que « les fournisseurs d’accès à Internet ne tiennent souvent pas d’avis de confidentialité pour leurs services DNS ». Résultat : « on ne sait pas exactement quelles données sont conservées, comment elles sont utilisées ou avec qui elles sont partagées » ! Parce qu’il y a si peu de réglementation sur les pratiques des fournisseurs de services à large bande en matière de protection de la vie privée, Mozilla estime que c’est aux éditeurs de navigateurs qu’il incombe de protéger les utilisateurs. L’entreprise précise toutefois que « pour vraiment protéger la vie privée, il faut mettre en place une combinaison de solutions techniques et réglementaires ».