IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Firefox Discussion :

Mozilla prévoit de lancer un Shield Study de DNS over HTTPS sur Firefox Nightly


Sujet :

Firefox

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    9 092
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 9 092
    Points : 209 783
    Points
    209 783
    Par défaut Mozilla prévoit de lancer un Shield Study de DNS over HTTPS sur Firefox Nightly
    Mozilla prévoit de lancer un Shield Study de DNS over HTTPS sur Firefox Nightly,
    mais la forme suscite la controverse même au sein de ses équipes

    Mozilla prévoit d'intégrer Trusted Recursive Resolver (TRR) via DNS-over-HTTPS (DOH) dans une future version du navigateur Firefox. La fonctionnalité initiale a été déployée dans Firefox 60, mais d'autres améliorations vont accompagner les futures versions du navigateur.

    DNS over HTTPS (DoH) est actuellement à l'état de draft au sein de l’IETF, le groupe qui participe à l'élaboration des standards Internet. Conçu principalement pour les situations où les recherches DNS peuvent échouer en raison de problèmes de connectivité et pour éviter toute interférence avec les opérations DNS, il a été pensé pour améliorer la confidentialité, la sécurité et la fiabilité de la connexion de l'utilisateur.

    Les navigateurs Web comme Firefox utilisent par défaut le service DNS configuré sur le système qui, dans de nombreux cas, est exploité par le fournisseur d'accès Internet. Vous pouvez remplacer le serveur DNS par un serveur privé ou public pour améliorer les performances, la sécurité ou filtrer le contenu Web indésirable.

    DNS-over-HTTPS exécute des opérations DNS sur des connexions HTTPS chiffrées. La version initiale est désactivée par défaut et les utilisateurs doivent modifier les préférences du navigateur pour activer TRR et définir également un URI DNS-over-HTTPS.

    Mozilla envisage de lancer une Shield Study auprès des utilisateurs de Firefox Nightly. Pour rappel, une Shield Study est un A / B testing contrôlé déployé dans le cadre du projet Shield. Il permet à Mozilla de comparer les modifications proposées à l'expérience par défaut dans Firefox pour les populations représentatives avant de les diffuser à tout le monde.

    TRR s'exécuterait en mode shadow et utiliserait le DNS public de CloudFlare sur un serveur HTTPS pour tester la fonctionnalité.

    Sous cette forme, toutes les recherches DNS seraient envoyées à Cloudflare, ce qui a conduit un employé de Mozilla, Henri Sivonen, a exprimé ses préoccupations :

    « Je pense que nous ne devrions pas lancer cette étude sous cette forme. Envoyer des informations sur ce qui est consulté à une partie tierce va éroder la confiance dans Mozilla à cause du fait que des personnes pourraient se fâcher si leurs informations confidentielles (où ils naviguent, "ils" étant identifié par l'adresse IP et "où" par le nom d'hôte) à une partie tierce sans consentement explicite.

    « Les ententes sur les politiques que nous avons conclues avec la partie tierce ne vont pas éliminer cet effet négatif, car la façon dont les gens réagissent à ce genre de choses est hors de notre champ de négociation : les gens vont réagir à cette situation en fonction de ce qui a été techniquement envoyé et non de ce que le destinataire a promis de ne pas faire. »

    Nom : mozilla_henri.png
Affichages : 3472
Taille : 50,2 Ko

    La discussion s'est poursuivie sur Bugzilla ainsi que sur le groupe Mozilla Dev Platform sur Google Groupes. Certains employés de Mozilla ont exprimé leur inquiétude et ont souhaité que l'étude devienne optionnelle, même sur Nightly.

    Mozilla a un accord opérationnel avec Cloudflare concernant l'étude qui empêche Cloudflare de conserver des enregistrements ou de vendre / transférer les données à des tiers.

    Bien que rien n'ait encore été décidé, il semble que Mozilla exécutera l'étude dans la forme proposée.

    Mozilla a ajouté plusieurs paramètres de configuration à Firefox qui configurent TRR.

    La préférence network.trr.mode définit l'état de TRR dans Firefox.
    • Une valeur de 0 signifie qu'elle est désactivée et non utilisée.
    • Une valeur de 1 que Firefox utilise DNS natif ou TRR en fonction de ce qui est plus rapide.
    • Une valeur de 2 utilise TRR par défaut, mais reviendra au résolveur natif si la résolution du nom échoue pour une raison quelconque.
    • Une valeur de 3 active le mode TRR uniquement. Seul le TRR est utilisé et il n'y a pas de fallback
    • Une valeur de 4 l'exécute en mode shadow, ce qui signifie que TRR est exécuté en parallèle pour la collecte de données, mais que le résolveur natif est utilisé.

    Les utilisateurs ont donc la possibilité de définir la préférence sur 0 pour désactiver TRR et quitter l'étude en conséquence.

    Source : Mozilla, BugZilla,
    IETF, GH

    Et vous ?

    Qu'en pensez-vous ?

  2. #2
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    Décembre 2011
    Messages
    9 026
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : Décembre 2011
    Messages : 9 026
    Points : 23 198
    Points
    23 198
    Par défaut
    Attendez... du DNS over HTTPS, cela veut dire qu'on va non seulement leur envoyer les domaines que nous consultons, notre adresse IP, mais en plus notre User-Agent (navigateur, version du navigateur, OS), les Accept-Language (notre langue), et d'autres éléments de configurations ?

    Ils sont sérieux ??

  3. #3
    MikeRowSoft
    Invité(e)
    Par défaut 100 % de chance que j'ai écris au moins une connerie.
    Un poste client dans une entreprise à l'adresse DNS du serveur DNS de l'entreprise normalement, celui actif pour l'Intranet et les nom de domaine de l'Intranet.
    Il y en a au moins deux de configurable, primaire et secondaire, sur le poste client de l'entreprise.
    Quand un poste client veut accéder à une ressource externe à l'Intranet de l'entreprise, il questionne son serveur DNS Intranet pour identifier ne "nom" et l'IP qui lui " dit " la route à prendre à moins que le ou les routeurs le face eux même.

    C'est juste l'adresse IP du serveur DNS qui risque de fuité, une adresse privée donc...

    Chez moi, tout ce qui est en Ethernet n'est pas en DHCP et à les DNS de la box.

  4. #4
    Expert éminent sénior
    Avatar de Coriolan
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Mai 2016
    Messages
    702
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Sarthe (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mai 2016
    Messages : 702
    Points : 51 832
    Points
    51 832
    Par défaut DNS-over-HTTPS : Mozilla estime que les premiers essais ont été réussis
    DNS-over-HTTPS : Mozilla estime que les premiers essais ont été réussis
    et va étendre le test à d'autres utilisateurs de Firefox

    En mars, Mozilla a annoncé qu’elle prévoit de lancer une Shield Study de DNS over HTTPS sur Firefox Nightly, l’objectif de cette étude est de suivre de près la performance du DNS-over-HTTPS (DOH) dans Firefox.

    Le DNS over HTTPS (DoH) est un protocole pour la résolution à distance du Domain Name System (DNS) via le protocole HTTPS. L’objectif de ce protocole est d’améliorer la confidentialité et la sécurité en empêchant l’Eavesdropping et la manipulation de DNS par des attaques de l'homme du milieu (appelée aussi attaque de l'intercepteur).

    Un autre but du DNS over HTTPS est l’amélioration de performance. Et justement, Mozilla s’est montrée satisfaite par la performance du protocole DoH. Pour cette raison, la fondation compte étendre l’étude Shield à plus d'utilisateurs (un pourcentage des utilisateurs du canal Beta) pour tester davantage la fonctionnalité de DNS-over-HTTPS.

    « Nos tests initiaux du DoH ont étudié le temps nécessaire pour recevoir une réponse du résolveur DoH de Cloudflare, » a dit Mozilla dans un communiqué. « Les résultats ont été très positifs, les utilisateurs les plus lents ont constaté une énorme amélioration de performance. Un test récent dans notre canal Beta a confirmé que DoH est rapide et ne cause pas de problème pour nos utilisateurs. Cependant, ces tests mesurent seulement l’opération du DNS elle-même, ce qui n’est pas tout. »

    À noter que dès l'annonce du début de cette étude, des chercheurs en sécurité ont fait part de leur inquiétude de voir Mozilla utiliser les serveurs de Cloudflare par défaut. Au sein même des équipes de Mozilla, l’opération a été sujette de controverse. Toutefois, sur cet aspect particulier, les responsables de Mozilla ont laissé filtrer qu’ils se sont assurés que Cloudflare ne conserve pas de logs des adresses IP des internautes.

    Désormais, cette étude va s’étendre à un groupe limité d’utilisateurs de Firefox (Release Channel), mais pas tout le monde va voir le DoH s’activer. Les utilisateurs sélectionnés vont recevoir une notification qui explique l’objet de cette étude et devront bien évidemment donner leur autorisation pour participer.

    Pour les utilisateurs qui n’ont pas été sélectionnés et qui voudraient quand même utiliser le DoH, ils peuvent le faire en modifiant les réglages de Firefox dans about:config, il suffit de suivre les étapes suivantes :

    1. Tapez about:config dans la barre d’adresse.
    2. Dans la zone de recherche, tapez la directive network.trr, il s’agit du Trusted Recursive Resolver, c’est à dire le paramètre DNS-over-HTTPS utilisé par Firefox.
    3. Double-cliquez sur network.trr.mode. Là, il existe cinq niveaux de paramétrage allant de 0 à 5. Pour utiliser le TRR par défaut, entrez la valeur 2 et cliquez sur OK. Maintenant le DoH est activé dans Firefox.
    4. Double-cliquez sur network.trr.uri et entrez la valeur https://mozilla.cloudflare-dns.com/dns-query.
    5. Et voilà, vous pouvez maintenant fermer about:config et vérifier quel résolveur DNS vous utilisez. Pour cela, Cloudflare a mis en place des tests (voir ce lien) permettant de voir si vous utilisez le Secure DNS, DNSSEC, TLS 1.3 ou Encrypted SNI.


    La préférence network.trr.mode définit l'état de TRR dans Firefox.

    • Une valeur de 0 signifie qu'elle est désactivée et non utilisée.
    • Une valeur de 1 que Firefox utilise DNS natif ou TRR en fonction de ce qui est plus rapide.
    • Une valeur de 2 utilise TRR par défaut, mais reviendra au résolveur natif si la résolution du nom échoue pour une raison quelconque.
    • Une valeur de 3 active le mode TRR uniquement. Seul le TRR est utilisé et il n'y a pas de fallback
    • Une valeur de 4 l'exécute en mode shadow, ce qui signifie que TRR est exécuté en parallèle pour la collecte de données, mais que le résolveur natif est utilisé.


    Si vous avez correctement configuré le DoH, vous devez voir apparaitre Secure DNS et TLS 1.3.

    Nom : rsz_doh (1).png
Affichages : 5143
Taille : 156,1 Ko

    L’initiative de Mozilla peut être de bonne intention, surtout que le DoH constitue une garantie supplémentaire de protection de nos données personnelles. Mais rien ne vous oblige de faire confiance à Cloudflare, une société qui reconnaît déjà collecter des données. Le mieux serait de se fier à d’autres résolveurs DNS permettant le DoH et respectant la vie privée des internautes, en voici une liste.

    Source : blog Mozilla

    Et vous ?

    Qu’en pensez-vous ?
    Quel serveur DNS utilisez-vous ?
    Accepteriez-vous de tester ce DoH en tant qu'utilisateur de Firefox ?

    Voir aussi

    Firefox : des chercheurs en sécurité inquiets au sujet du mécanisme de résolution d'adresse DNS qui s'appuie par défaut sur les serveurs Cloudflare
    Cloudfare étoffe 1.1.1.1, son offre de service DNS grand public supposé respectueux de la vie privée, d'un résolveur sur le réseau Tor

  5. #5
    Membre expert

    Profil pro
    activité : oui
    Inscrit en
    Janvier 2014
    Messages
    1 262
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : activité : oui

    Informations forums :
    Inscription : Janvier 2014
    Messages : 1 262
    Points : 3 416
    Points
    3 416
    Par défaut
    Qu’en pensez-vous ?

    Je suis entièrement d'accord avec la fin de l'article :
    "les responsables de Mozilla ont laissé filtrer qu’ils se sont assurés que Cloudflare ne conserve pas de logs des adresses IP des internautes."
    Ces dires, aussi honnêtes soient-ils, ne sont pas des garanties suffisantes ...d'autant plus sans explications techniques (puisque c'est un problème technique), et faisant intervenir un acteur agissant déjà en contradiction avec les assurances que la solution est sensé apporter.

    Est-ce que choisir un résolveurs DNS de confiance est un problème insoluble ?
    ...dans le sens où le problème vient du fait que l'on fait intervenir un facteur de "confiance" là où actuellement il n'y a pas de solution totalement "sûr".

    Résolveurs DNS = solution centralisé ou bien existe-t-il d'autres méthodes décentralisés ?
    ...comme certains (méta)moteurs de recherche (ex: YaCy (sous GPLv2), SyncNet (sous MIT))

Discussions similaires

  1. Réponses: 14
    Dernier message: 11/07/2017, 09h40
  2. Réponses: 1
    Dernier message: 05/07/2012, 17h07
  3. Réponses: 15
    Dernier message: 18/01/2011, 08h55
  4. Réponses: 2
    Dernier message: 13/11/2008, 19h10
  5. lancer le client mail par défaut du client sur "onclick"
    Par mioux dans le forum Général JavaScript
    Réponses: 10
    Dernier message: 12/06/2007, 10h57

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo