DNS over HTTPS (en abrégé « DoH ») est une norme de protocole gratuite pour la transmission de requêtes DNS (et de résolutions) via le protocole de transfert hypertexte sécurisé (HTTPS). DoH crypte les données et est donc considéré comme une alternative sûre à la transmission d’informations DNS en texte clair. L’objectif est de préserver les contenus d’un accès non autorisé ou d’une manipulation et de protéger la vie privée des utilisateurs d’Internet. Vous apprendrez ici comment fonctionne le DNS over HTTPS et quels sont les avantages et les inconvénients de cette norme.
DoT utilise TLS (Transport Layer Security) au lieu de HTTPS pour la transmission des requêtes et nécessite l’activation du port 853. Il est ainsi plus facile d’identifier et d’empêcher la communication.
Malheureusement, même DoH ne garantit pas une protection totale de votre vie privée. En effet, les fournisseurs d’accès à Internet (FAI) ont toujours la possibilité d’intercepter des éléments non cryptés de la communication.
DoH est une norme de l’IETF ou un projet de RFC. L’IETF (« Internet Engineering Task Force ») est une organisation à but non lucratif responsable de l’adoption de normes Internet publiques.
Table des matières
1. comment fonctionne le DNS sur HTTPS ?
Le DNS (« Domain Name System ») est responsable de la résolution des noms dans les réseaux, dont Internet est probablement l’un des représentants les plus connus. Lorsque vous appelez une URL (p. ex. www.wintotal.de) dans le navigateur, une requête est automatiquement envoyée au DNS pour déterminer l’adresse IP du serveur web (dans notre exemple, ce serait 91.210.227.76). Sur la base de cette information, le navigateur appelle ensuite le site web. Sans DNS, vous devriez donc saisir l’adresse IP dans le navigateur à chaque fois que vous souhaitez visiter un site web.
Mais il y a un hic : la requête au serveur DNS est transmise en texte clair. Cela signifie qu’en principe, le chemin entre votre appareil et le serveur de noms permet de voir quel site web vous souhaitez consulter. Une aubaine pour les pirates et les cybercriminels, car les manipulations (p. ex. la redirection vers un autre site ou les attaques DDoS) sont ainsi relativement faciles à réaliser.
1.1 Les données sont cachées dans le trafic HTTPS
C’est ici qu’intervient le DNS over HTTPS. Celui-ci utilise, comme son nom le laisse supposer, le protocole HTTPS, qui passe par défaut par le port 443. Comme celui-ci est ouvert dans la plupart des réseaux, il n’y a pas non plus de problèmes dus à des blocages de pare-feu ou autres.
Le trafic DNS passe donc par une connexion HTTPS cryptée vers les serveurs DNS non censurés (compatibles avec DoH), appelés résolveurs DoH. Pour cela, DoH utilise une communication orientée connexion et envoie, après son établissement, des paquets HTTPS qui contiennent à leur tour la requête DNS proprement dite. Les données sont ainsi cachées dans le trafic HTTPS proprement dit. De son côté, le résolveur répond également de manière cryptée.
Grâce à l’utilisation du HTTPS, pratiquement chaque serveur web est désormais en mesure de répondre aux requêtes DNS (à condition bien sûr qu’il supporte DoH). En outre, il devrait à l’avenir donner lui-même des informations sur toutes les pages liées et utilisées sur le site web demandé. De cette manière, il n’est plus nécessaire d’effectuer d’autres requêtes DNS lorsque l’on se déplace sur la page concernée.
C’est bon à savoir : Les serveurs DNS « classiques » peuvent également être complétés par DoH et peuvent ainsi être interrogés via HTTPS. Mais comme les serveurs DNS actuels ne supportent pas encore les requêtes DoH, les applications concernées contiennent des listes de serveurs DoH prédéfinis. Ces listes séparent efficacement DNS over HTTPS des paramètres DNS du système d’exploitation.
2. DNS over HTTPS a aussi des faiblesses
La majorité des utilisateurs « normaux » d’Internet ne savent probablement pas du tout comment fonctionne le DNS et à quoi il sert exactement. Pour tous ceux-là, le DoH représente certainement un énorme gain de sécurité. Les administrateurs et les utilisateurs privés techniquement avertis pourraient avoir des sentiments plus mitigés à son égard.
Dans les entreprises en particulier, l’influence du DoH peut même parfois entraîner de sérieuses difficultés. En règle générale, les administrateurs système utilisent des serveurs DNS locaux et des logiciels basés sur le DNS pour filtrer et surveiller le trafic local. Cela doit en premier lieu empêcher les employés d’accéder à des contenus non autorisés ou dangereux. Avec DoH, les employés sont toutefois en mesure de contourner les filtres et d’accéder également aux contenus bloqués.
De plus, la sécurité de votre vie privée n’est pas non plus garantie à 100 % avec DoH. Les données sont certes cryptées dans les deux sens entre le client et le résolveur, mais les fournisseurs d’accès disposent également d’autres options (par exemple « TLS-Handshake » et « SNI ») qui leur permettent de suivre l’historique des pages web que vous visitez.
Il est bon de savoir : Aux États-Unis, ce sont surtout les grands fournisseurs d’accès (comme Comcast) qui sont des adversaires acharnés de DoH, car cela rend entre autres la publicité ciblée beaucoup plus difficile. C’est la raison pour laquelle un groupe de fournisseurs d’accès a créé une présentation contenant des déclarations ambiguës et même fausses sur le DoH, dans l’espoir de susciter une attitude négative de la part du législateur et du Congrès.
3. quels sont les navigateurs qui supportent déjà DoH ?
3.1 Mozilla Firefox
Mozilla et le fournisseur de services Internet américain Cloudflare sont les forces motrices derrière DNS over HTTPS, c’est pourquoi Firefox a été le premier navigateur à intégrer DoH. Dans la version actuelle, vous pouvez activer la fonction via « Paramètres -> Paramètres de connexion« .
Conseil : Firefox traite par défaut toutes les requêtes DoH via un résolveur Cloudflare. Les paramètres personnels relatifs à la gestion des DNS sont tout simplement ignorés. Il est toutefois possible de régler le paramètre sur un autre résolveur DoH.
3.2. Google Chrome
Après Firefox, Google Chrome est le deuxième navigateur à être équipé de DoH. Toutefois, il faut encore l’activer ici via le lien« chrome://flags/#dns-over-https« . Actuellement, cela fonctionne déjà pour Windows, Mac, Android et Chrome OS, les utilisateurs de Linux restent malheureusement exclus pour le moment.
Une fois la fonction activée, Chrome envoie les requêtes DNS au même serveur qu’auparavant, mais crypte le trafic si celui-ci possède une interface compatible avec DoH. Si ce n’est pas le cas, les requêtes sont envoyées en clair.
3.3 Navigateurs basés sur Chromium
De nombreux autres navigateurs connus (dont par exemple Microsoft Edge, Opera ou Vivaldi) sont basés sur Chromium et son moteur Blink. DNS over HTTPS est donc également présent chez eux et peut être activé dans les paramètres respectifs.
Il est bon de savoir : Apple reste encore très discret sur la question de l’implémentation de DoH dans Safari. Mais comme les nouvelles versions du navigateur contiennent déjà de plus en plus de fonctions individuelles de protection des données, il est fort probable qu’une décision concernant le protocole DoH soit prise dans un avenir proche.