L’association professionnelle des fournisseurs de services Internet (abrégé ISPA – Internet Services Providers’ Association) du Royaume-Uni a récemment désigné Mozilla comme l’un des finalistes du prix Internet Villain de 2019 aux côtés du président américain Donald Trump et de l’article 13 de la directive sur le droit d’auteur. Comme l’a souligné l’ISPA, « les nominés Villain prennent en compte l’impact des nouvelles normes techniques sur les protections en ligne existantes, l’équilibre entre la liberté d’expression et le droit d’auteur en ligne et la chaîne logistique mondiale des télécommunications ».
L’ISPA a retenu la fondation Mozilla à cause de son initiative DNS-over-HTTPS (DoH) visant à mettre en place sur son navigateur une spécification pour la résolution à distance du Domain Name System (DNS) via le protocole HTTPS. D’après la Fondation, la mise en œuvre du DoH devrait améliorer la confidentialité et la sécurité des internautes tout en empêchant l’Eavesdropping et la manipulation de DNS par des attaques de l’homme du milieu.
Le protocole DoH fonctionne en prenant un nom de domaine qu’un utilisateur a tapé dans son navigateur puis en envoyant une requête à un serveur DNS pour connaître l’adresse IP numérique du serveur web qui héberge ce site spécifique. Mais il prend la requête DNS et l’envoie à un serveur DNS compatible DoH (résolveur) via une connexion HTTPS chiffrée sur le port 443, plutôt qu’en texte clair sur le port 53. De cette façon, il masque les requêtes DNS dans le trafic HTTPS régulier et augmente le niveau de sécurité / confidentialité des séances de navigation. Par ailleurs, chaque application contrôle la confidentialité de ses requêtes DNS et peut câbler une liste de serveurs DNS (résolveurs) sur HTTPS dans ses paramètres, sans dépendre des résolveurs par défaut du système d’exploitation (probablement DoH-non-compatible).
Le problème du point de vue de l’ISPA
En théorie, ce système compromet sérieusement la capacité de nombreux FAI à détecter le trafic de leurs clients et à le filtrer pour isoler les « sites malveillants » désignés par les régulateurs : un rêve pour les défenseurs de la vie privée, mais un cauchemar pour les fournisseurs de services Internet et les fabricants d’appareils de sécurité réseau. L’ISPA déplore le fait que cette initiative permettra aux internautes de contourner les obligations de filtrage, les contrôles parentaux et, plus largement, les normes de sécurité Internet en vigueur au Royaume-Uni. L’organisation estime que le DoH va nuire à l’obligation de filtrage et de régulation du contenu accessible en ligne instituée dans le pays et qui a été renforcée depuis l’adoption de la « Digital Economy Act 2017 ».
La réponse de Mozilla
« Nous sommes surpris et déçus qu’une association regroupant des FAI ait décidé de dénaturer une amélioration de l’infrastructure Internet vieille de plusieurs décennies », a déclaré un porte-parole de Mozilla en guise de réponse aux allégations de l’ISPA. Il assure en outre : « DNS plus privé ne pourrait pas empêcher l’utilisation du filtrage de contenu ou des contrôles parentaux au Royaume-Uni. DNS-over-HTTPS offrirait de réels avantages en matière de sécurité aux citoyens britanniques ».
Mozilla insiste sur le fait que son objectif est de construire un Internet plus sûr et qu’elle milite pour une approche constructive sur les questions en rapport avec la sécurité lors des discussions avec les différentes « parties prenantes crédibles au Royaume-Uni », sans toutefois préciser si elle considérait l’ISPA comme tel.
L’éditeur de Firefox ne prévoit pas d’activer le DoH par défaut au Royaume-Uni. Cependant, son porte-parole a confié : « nous explorons actuellement des partenaires potentiels du DoH en Europe afin d’apporter cette importante fonctionnalité de sécurité à d’autres Européens de manière plus générale ».
Comment activer le DoH
Le guide ci-dessous montre aux utilisateurs de Firefox comment activer cette fonctionnalité. Les paramètres devraient s’appliquer immédiatement. Dans le cas contraire, redémarrer Firefox après la configuration.
Étape 1 : tapez about:config dans la barre d’adresse et appuyez sur Entrée pour accéder au panneau de configuration de Firefox. Ici, les utilisateurs devront activer et modifier trois paramètres.
Étape 2 : le premier réglage concerne le mode « network.trr.mode » qui active le support du DoH. Ce réglage prend en charge quatre valeurs :
- 0 – Valeur par défaut dans les installations Firefox standard
- 1 – DoH est activé, mais Firefox choisit s’il utilise DoH ou un DNS régulier basé sur lequel renvoie des réponses de requête plus rapides
- 2 – DoH est activé, et le DNS régulier fonctionne comme une sauvegarde
- 3 – DoH est activé, et le DNS régulier est désactivé
- 5 – Le DoH est désactivé
Étape 3 (facultative) : le deuxième paramètre qui doit être modifié est « network.trr.uri ». Il s’agit de l’adresse du serveur DNS DoH compatible où Firefox enverra des requêtes DNS DoH. Par défaut, Firefox utilise le service DoH de Cloudflare. Toutefois, les utilisateurs peuvent utiliser leur propre URL de serveur DoH.
Source : Wiki Mozilla