Firefox : la nouvelle mise à jour déçoit certains experts en sécurité
Le 25 février, Mozilla a commencé le déploiement de la fonctionnalité DNS via HTTPS (abrégé DoH pour DNS over HTTPS) par défaut sur Firefox aux États-Unis. Cela a pour but d'accroître la vie privée des utilisateurs, mais tout le monde n'est pas parfaitement d'accord avec cela.
Notons que si Firefox est le premier à mettre en place le DoH, d'autres navigateurs comme Chrome ou Edge envisagent également de suivre le mouvement à l'avenir.
Qu'est-ce que le DNS over HTTPS ?
Reprenons néanmoins les bases avant de parler des griefs de cette fonctionnalité. Lorsqu'un navigateur comme Firefox tente de se connecter à une page web, il envoie une demande à un DNS (domaine name service), pour vérifier que l'adresse IP est accessible. Même si la connexion au site est chiffrée, cette demande est faite en clair. Ainsi, n'importe qui situé entre le navigateur et le DNS peut être en mesure d'avoir une liste des URL tapés.
Lorsque vous vous connectez à frandroid.com par exemple, les échanges de données sont sécurisés via le protocole HTTPS, mais la demande de connexion initiale passe par plusieurs étapes, ce qui permet entre autres à votre fournisseur d'accès de savoir que vous avez visité ce site, même s'il n'a ensuite aucune idée des échanges qui y sont faits. Pire, un pirate informatique pourrait également avoir accès à cette information.
Le DNS over HTTPS consiste à chiffrer cette information en l'envoyant au préalable à un DNS tiers. En l’occurrence, Firefox utilise par défaut Cloudflare, société experte en réseau et en sécurité. Ainsi, votre fournisseur d'accès ne peut pas, en théorie, voir la liste de sites que vous visitez. En revanche, Cloudflare peut. Mozilla impose néanmoins aux sociétés tierces une politique d'intimité très stricte les empêchant de stocker les informations récoltées plus de 24 heures et bien évidemment de les vendre.
Les experts en sécurité haussent le ton
Ce changement n'est toutefois pas du goût de tout le monde, à commencer par certains experts en sécurité qui parlent déjà de désinstaller les logiciels de Mozilla.
https://twitter.com/paulvixie/status/1232427484202688512
Plusieurs problèmes sont en effet évoqués, à commencer par le fait que ces DNS imposés par Firefox supplantent ceux qui auraient pu être paramétrés au préalable par l'utilisateur pour bloquer des logiciels malveillants, installer un contrôle parental ou toute autre raison. Par ailleurs, malgré les règles strictes de vie privée imposée par Mozilla, certains reprochent le choix de Cloudflare, une entreprise privée, par défaut. Enfin, dans un cadre professionnel, pour un réseau d'entreprise, cela peut soulever des problèmes liés aux restrictions imposées par la direction.
Pire encore, certains experts expliquent depuis 2019 que les fournisseurs d'accès à internet peuvent continuer à récolter de précieuses informations, même en passant par des protocoles HTTPS et DoH grâce à l'indication du nom du serveur ou encore le protocole de vérification de certificat en ligne.
https://twitter.com/PowerDNS_Bert/status/1175744071673028608
Par ailleurs, mais c'est un problème pour de nombreux DNS, le DoH permet de contourner les blocages de DNS mis en place à l'échelle nationale pour empêcher l'accès à certains sites, comme ceux contenant de la pédopornographie par exemple.
Comment paramétrer le DoH ?
Sur Firefox, il est possible de régler le DNS via HTTPS. Pour cela, dans l'onglet Général des options, descendez tout en bas et cliquez sur le bouton "Paramètres" dans la section "Paramètres réseau". Tout en bas de la nouvelle fenêtre se trouve une case intitulée "Activer le DNS via HTTPS" que vous pouvez donc activer ou désactiver à loisir.
Par ailleurs, cela permet également de choisir le DNS utilisé. Si Firefox utilise Cloudflare par défaut, il propose également de choisir NextDNS ou d'entrer un DNS personnalisé. C'est peut-être là le meilleur compromis, laissant penser que c'est surtout l'activation par défaut de cette option aux États-Unis qui pose réellement problème.