Tout au long de l'histoire d'Internet, le trafic traditionnel du système de noms de domaine (DNS), par exemple, les demandes des utilisateurs pour accéder à des sites Web particuliers, a été en grande partie non chiffré. Cela signifie que chaque fois que vous recherchez une adresse Web dans le "répertoire téléphonique Internet", chaque partie de la chaîne de valeur DNS qui prend votre demande peut examiner ces requêtes et réponses, voire les modifier. Le DNS crypté, par exemple, en utilisant DNS sur HTTPS (DoH), change cela. Plusieurs grandes sociétés Internet, telles qu'Apple, Mozilla, Microsoft et Google, implémentent un DNS crypté via DoH dans leurs services et applications. Mozilla a été l'un des premiers à adopter DoH dans son navigateur aux États-Unis fin 2018, tandis qu'Apple l'implémente avec des mises à jour pour iOS 14 et macOS 11 à l'automne 2020, et Google implémente DoH dans Chrome pour Android.
L'annuaire téléphonique mondial sur Internet
Le DNS (Domain Name System) fonctionne essentiellement comme l'annuaire téléphonique Internet. Si nous considérons le domaine de premier niveau (la partie la plus à droite d'une adresse Web, comme .com, .org ou .info) comme l'équivalent d'un code de pays ou d'un indicatif régional, le deuxième niveau (dans le cas de . eco. de international, ce serait .eco.) comme numéro standard de l'entreprise, et le troisième niveau (international) comme extension spécifique, il est possible d'avoir une image de la façon dont ce répertoire est compilé et le fonctionnement des ordinateurs trouve le service qui veulent visiter. Les résolveurs DNS sont chargés de trouver la ressource Internet (par exemple, un site Web) que vous avez saisie sur votre ordinateur ou votre téléphone. Le premier résolveur DNS auquel votre appareil est connecté localement est votre routeur domestique ou professionnel, ou un point d'accès public. Ce résolveur suit une série d'étapes, vérifiant les paramètres préconfigurés sur l'appareil ou un enregistrement des visites précédentes sur le site Web donné (appelé cache). Sinon, le résolveur transmettra la requête DNS au prochain résolveur, par exemple celui du fournisseur d'accès Internet (FAI) auquel vous êtes connecté. Ce résolveur suivra les mêmes étapes et éventuellement, si tout le reste échoue, il recherchera le domaine dans "l'annuaire téléphonique Internet".
Contre quels risques DoH protège-t-il les utilisateurs?
L'un des objectifs poursuivis dans le développement du protocole DoH était d'augmenter la confidentialité et la sécurité de l'utilisateur en évitant l'écoute et la manipulation des données DNS. Le cryptage du trafic DNS vous protège contre la possibilité qu'un acteur malveillant puisse vous rediriger vers une autre destination (malveillante), par exemple un faux site Web bancaire au lieu de celui que vous vouliez visiter. Ce type de cyberattaque est connu sous le nom d'attaque Man-in-the-Middle (MITM). Le cryptage DNS sur DoH (ou le protocole DoT associé) est la seule solution réaliste disponible aujourd'hui. La monétisation des données DNS, par exemple, à des fins de marketing, est un problème de confidentialité potentiel et réaliste que les développeurs du DoH souhaitaient également résoudre.
Protégez les utilisateurs sur les réseaux publics
Lorsque vous utilisez un réseau sans fil public (Wi-Fi) dans des hôtels, des cafés, etc., les données de requête DNS de votre téléphone mobile peuvent être utilisées pour analyser votre comportement et vous suivre sur les réseaux. Souvent, ces services DNS font partie d'une solution Wi-Fi tout-en-un disponible dans le monde entier ; peut ne pas être adéquat pour se conformer aux lois locales sur la confidentialité et aux paramètres de protection de la confidentialité potentiellement non. n'est pas activé. De plus, les services Wi-Fi publics gratuits, en particulier lorsqu'ils sont exploités ou fournis par de petites entreprises, sont souvent mal gérés en termes de sécurité et de performances, ce qui vous rend vulnérable aux attaques de vos réseaux. Le DoH protège les utilisateurs de ces réseaux sans fil publics car le résolveur DNS du réseau Wi-Fi est contourné, empêchant le suivi des utilisateurs et la falsification des données à ce niveau. Par conséquent, DoH offre la possibilité de protéger les communications dans un environnement non fiable.
Qu'est-ce qui change avec DoH?
DNS sur HTTPS en lui-même ne modifie que le mécanisme de transport par lequel votre appareil et le résolveur communiquent. Les requêtes et les réponses sont cryptées à l'aide du protocole HTTPS bien connu. Actuellement, étant donné que peu de résolveurs DoH ont encore été implémentés et que des travaux sont toujours en cours pour permettre techniquement aux résolveurs DoH d'être "détectables", les requêtes DNS utilisant DoH contournent généralement le résolveur local et sont plutôt gérées par un résolveur local. Fournisseur DoH déjà désigné par le développeur ou le fabricant du logiciel respectif. De plus en plus de fournisseurs décident d'offrir ou non leurs propres services DoH.
Est-ce que je veux DoH sur mon réseau d'entreprise?
Bien que DoH soit un moyen utile de vous protéger lorsque vous utilisez un point d'accès public, ce n'est peut-être pas l'option préférée pour les environnements réseau de confiance, tels que les réseaux d'entreprise ou les services d'entreprise. Accès Internet acheté auprès d'un FAI de confiance. Votre entreprise, par exemple, peut avoir des raisons légitimes d'interdire une application qui ignore et remplace les paramètres par défaut du système ; cela peut même être considéré comme potentiellement dangereux, puisque l'administrateur réseau ne peut pas le contrôler au sein du réseau. . De nombreux problèmes avec les réseaux d'entreprise disparaissent si DoH est mis en œuvre au niveau du système plutôt qu'au niveau de l'application. Au niveau du système, par exemple, un administrateur de réseau d'entreprise peut configurer le système et créer une stratégie qui garantit que lorsque l'appareil est sur le réseau d'entreprise, le résolveur d'entreprise doit être utilisé, mais dans le cas où l'appareil est sur un réseau public , DoH devrait être utilisé pour améliorer la sécurité et la confidentialité. Cependant, si DoH est implémenté par défaut au niveau applicatif, ces différentes configurations sont ignorées. Il existe d'autres préoccupations concernant l'utilisation d'un résolveur DNS externe via DoH, allant des temps de réponse potentiellement lents au contournement des contrôles parentaux et au blocage légalement mandaté. Mais en général, bon nombre des inconvénients possibles du DoH sont compensés par autant d'avantages, selon le contexte. Cela ne fait aucun doute : le cryptage DNS améliore la sécurité et la confidentialité des utilisateurs. DoH peut fournir un moyen simple de le faire. Mais si vous activez DoH, assurez-vous de vous renseigner sur qui gérera la résolution DoH, comment ils gèrent vos données et si vous pouvez facilement le désactiver lorsque vous en avez besoin.