Depuis plusieurs années, nous travaillons ardemment pour mettre à jour et sécuriser l’une des plus anciennes parties d’Internet, le système de noms de domaine (DNS). Nous avons franchi une étape clé dans ce projet en début d’année, lorsque nous avons déployé le protocole DNS-over-HTTPS (DoH) pour la vie privée et la sécurité dans le DNS aux utilisateurs·rices américains de Firefox.
Étant donné l’impact de cette technologie et notre engagement pour plus de transparence et de collaboration, nous avons souhaité mettre en œuvre le DoH de manière réfléchie et inclusive. Ainsi, alors que nous étudions une généralisation du DoH à tous les utilisateurs·rices de Firefox, nous lançons une période de consultation pour nous aider dans la suite de notre projet.
Un peu d’histoire
Avant d’expliquer notre démarche et cette consultation, il convient de clarifier quelques points à propos du DoH et comment nous l’implémentons.
Qu’est-ce que le DNS ?
Le Domain Name System (DNS) est une base de données publique partagée qui relie des noms de domaines internet comme www.mozilla.org à une adresse IP (par exemple 192.0.2.1). En faisant une recherche dans cette base de données, votre navigateur web est capable de trouver des sites en votre nom. En raison de la manière dont le DNS a été conçu il y a une dizaine d’années, les navigateurs effectuant des recherches DNS – même pour des sites cryptés https:// – devaient effectuer des requêtes sans cryptage.
Quels sont les problèmes de sécurité et de respect de la vie privée liés au DNS traditionnel ?
Sans cryptage dans le DNS traditionnel, des entités tierces peuvent donc collecter (voire bloquer ou modifier) ces données. Il peut s’agir de votre fournisseur d’accès à Internet (FAI), de votre opérateur mobile, si vous vous connectez sur votre smartphone), d’un fournisseur de points d’accès Wi-Fi (si vous vous connectez dans un café) ou même de logiciels espions dans certains cas.
Aux débuts d’Internet, ces menaces pour la sécurité et la vie privée des internautes étaient déjà connues mais pas encore exploitées. Aujourd’hui, nous savons que le DNS non-crypté est vulnérable face aux menaces et c’est pourquoi nous aidons Internet à opter pour des alternatives plus sûres. C’est là que le DoH rentre en jeu.
Qu’est-ce que le DoH et comment atténue-t-il ces problèmes ?
Suivant les meilleures pratiques de cryptage du trafic HTTP, Mozilla a travaillé avec l’Internet Engineering Task Force (IETF) afin de définir une technologie de cryptage DNS dénommée DNS via HTTPS (DoH), spécifiée dans le RFC 8484. Cette technologie chiffre les requêtes DNS et les réponses entre le terminal et le résolveur DNS via HTTPS. Le DoH étant une nouvelle norme Internet, les fournisseurs de systèmes d’exploitation et les navigateurs (autres que Mozilla) peuvent également le mettre en place. Ainsi, Google, Microsoft et Apple vont ou ont implémenté le DoH dans leurs navigateurs et/ou systèmes d’exploitation respectifs. À terme, cette technologie deviendra la norme pour améliorer la sécurité du Web.
Comment Mozilla a déployé le DoH jusqu’à présent ?
Mozilla a déployé le DoH aux utilisateurs·rices de Firefox aux États-Unis, et comme un opt-in pour les ceux·celles d’autres régions. Nous explorons actuellement un déploiement au-delà des États-Unis. Conformément à la mission de Mozilla, dans les pays où nous déployons cette fonctionnalité, l’utilisateur·rice aura le choix explicite d’accepter ou de refuser le DoH, avec une activation par défaut pour protéger sa vie privée et sa sécurité.
Notre déploiement du DoH ajoute une couche supplémentaire de protection de l’utilisateur·rice au-delà du simple cryptage des requêtes DNS. Notre déploiement inclut un programme Trusted Recursive Resolver (TRR), par lequel les consultations DoH sont acheminées uniquement aux fournisseurs de DNS qui se sont engagés juridiquement à apporter des protections supplémentaires aux données des utilisateurs·rices. Par exemple, limiter la conservation des données à des fins opérationnelles et ne pas vendre ou partager les données des utilisateurs à des tiers. Le déploiement du DoH de Firefox est aussi conçu pour respecter les services de contrôle parental proposés par les FAI et propose des techniques pour qu’il fonctionne avec les politiques informatiques des entreprises.
La période de concertation
Alors que nous cherchons à faire profiter les bénéfices du DoH au plus grand nombre, nous lançons également une consultation pour recueillir les idées et recommandations afin d’optimiser la sécurité et les avantages pour la vie privée de son implémentation dans de nouvelles régions. Nous accueillons les contributions des personnes partisanes d’un Internet plus sûr et qui protège les droits des internautes.
Participer à la concertation sur l’implémentation du DoH de Mozilla
- Durée : la concertation internationale et publique durera 45 jours, du 19 novembre 2020 au 4 janvier 2021.
- Audience : la consultation est ouverte à tous ceux qui veulent un Internet plus ouvert, sécurisé et sain.
- Questions pour la consultation : une série de questions détaillées est disponible ici. Il n’est cependant pas obligatoire de répondre à toutes les questions.
- Soumettre des commentaires : toutes les réponses peuvent être soumises en format texte ou PDF ou en écrivant à doh-comment-period-2020@mozilla.com.
Sauf si les auteur·e·s précisent explicitement dans leur e-mail qu’ils ne veulent pas être publiés, toutes les réponses seront rendues publiques sur notre blog. Les commentaires qui transgresseront les Directives relatives à la participation communautaire de Mozilla ne seront pas publiés.
Notre but est que le DoH devienne aussi omniprésent pour le DNS que l’HTTPS l’est pour le trafic web et qu’il soit soutenu par les FAI, les opérateurs mobiles et les entreprises à travers le monde afin d’aider à la protection des utilisateurs·rices mais aussi des fournisseurs de DNS. Nous espérons que cette consultation nous rapprochera de cet objectif, et nous attendons avec impatience ces retours pour créer un Internet plus sain.