Firefox active le DNS-over-HTTPS par défaut aux États-Unis

Pierre Crochart
Spécialiste smartphone & gaming
26 février 2020 à 13h12
7
Firefox DNS over HTTPS
© Mozilla

Mozilla milite une nouvelle foi en faveur d'un Web plus sécurisé et respectueux de la vie privée. Aux États-Unis, la fonctionnalité DNS-over-HTTPS (DoH) sera dorénavant activée par défaut.

Déjà présente sur le navigateur depuis la version 62, l'option DNS-over-HTTPS est laissée à l'appréciation des utilisateurs. Du moins, dans le reste du monde. Car aux États-Unis, Mozilla s'est résolu à faire du DoH la nouvelle norme.

Par défaut, les DNS ne sont pas chiffrés

« L'un des plus vieux rouages d'Internet ». C'est en ces termes que Mozilla qualifie le Domain Name System : le DNS. Pour expliquer grossièrement ce qu'est un DNS, il faut s'imaginer un annuaire.

« Le DNS est une base de données qui connecte un nom humainement compréhensible, comme « www.mozilla.org », à une série de chiffres compréhensibles par les ordinateurs, appelée adresse IP (comme 192.0.2.1) », professe Mozilla sur son blog. Autrement dit, lorsque vous effectuez une requête sur Internet, un registre DNS est consulté et se charge de faire correspondre le nom de domaine que vous recherchez à son adresse IP ; résultant en l'affichage de la page désirée.


Un processus invisible pour le profane, mais qui peut poser de gros soucis de sécurité et, a fortiori, de confidentialité. Par défaut, les appareils connectés à Internet utilisent le DNS — le registre — fourni par leur FAI ou leur opérateur mobile. Un registre qui n'est pas chiffré et qui permet donc à votre fournisseur d'accès ou à de tierces parties malveillantes d'avoir connaissance de vos requêtes sur Internet.

Pour faire correspondre la requête de l'utilisateur à l'index des registres DNS, les navigateurs Internet utilisent une connexion HTTP — qui n'est pas sécurisée. Le protocole DNS-over-HTTPS, comme son nom l'indique, s'assure que même les requêtes au registre DNS soient chiffrées, et donc que personne ne puisse jeter un œil à vos recherches.

Pour l'utilisateur ? Rien ne change. Certains registres de DNS comme Cloudflare (qui a d'ailleurs la préférence de Mozilla) arguent que leur résolveur est plus rapide que n'importe quel autre, offrant ainsi une navigation plus fluide à ses utilisateurs.

Pourquoi limiter l'activation du DoH aux États-Unis ?

D'après The Verge, la manœuvre de Firefox serait motivée par les récentes déclarations de AT&T et Verizon — deux des plus gros FAI du pays.

Les mastodontes des télécoms veulent en effet se poser en concurrent direct de Facebook pour tout ce qui a trait à la publicité sur Internet. Comment ? En assumant la collecte des données de tous les clients connectés à leur réseau. Une collecte dont les usagers n'ont — pour la plupart — probablement pas conscience.


Activer le DoH revient donc à parer les utilisateurs de Firefox d'un voile qui, s'il n'empêche pas la collecte de données, permettra au moins d'éviter qu'ils soient identifiés par les FAI.

Par défaut, Firefox utilisera le résolveur DNS Cloudflare aux États-Unis. Les utilisateurs peuvent néanmoins en changer pour NextDNS (arrivé sur Firefox avec la version 73), ou un autre résolveur de leur choix. En France, si le DoH n'est pas activé par défaut, il est très facile de le faire en se rendant dans Préférences > Paramètres réseau > Activer le DNS via HTTPS.

Firefox 74
Capture d'écran

Source : Mozilla
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
7
6
julla0
A quoi sert l’option « Utiliser un DNS distant lorsque etc… » qui n’est pas cochée par défaut?
Matrix-7000
Bonjour, cette option permet de forcer ton navigateur Firefox d’utiliser les DNS que fourni un serveur proxy/VPN, en lieu et place de ceux configurés sur ta machine. Cette option est donc utile lorsque l’on surf via un proxy ou un VPN.
julla0
Ok merci
ultrabill
Exploiter un protocole lourd comme HTTPS est, à mon sens, un mauvais palliatif à l’absence de chiffrement des requêtes DNS.
Blap
Certes ca aurait ete mieux que les DNS se mettent a jours niveau securité, mais il n’y a pas vraiment de difference avec le HTTPS. Exemple avec ces benchmarks https://www.samknows.com/blog/dns-over-https-performance
Matrix-7000
Bonjour,<br /> les requêtes DNS, sont souvent, les premières données que l’on exploite lorsque l’on veut savoir (espionner) ce que fait un utilisateur d’Internet. Aujourd’hui, alors que de plus en plus de libertés sont mises à mal et que la censure des biens pensants est de plus en plus présente, je pense que le DoH ne peut-être qu’une bonne chose pour tout le monde.<br /> De plus, avant de s’inquiéter de la lourdeurs des requêtes DoH, je pense qu’il faut d’avantage s’inquiéter du streaming massif et grandissant qui génère une pollution absolument énorme et qui représente aujourd’hui, la plus grosse partie du trafic Internet.<br /> Malheureusement, nous n’avons pas encore de vrai solutions, faciles à mettre en place pour permettre à l’utilisateur « lambda », de se protéger le mieux possible, lorsqu’il navigue sur Internet.<br /> Qu’en pensez-vous?
ultrabill
Extrait de l’article :<br /> The difference between Do53 and DoH on the same DNS provider is typically only a few milliseconds<br /> Quelques millisecondes sur une requête qui, de base, prend quelques millisecondes, ça peut faire de sacrés différences sur une grosse quantité de requêtes à la fin de la journée <br /> Ensuite, en terme de ressources (cotés clients et serveurs) ce sera toujours plus énergivore de faire « DNS dans HTTP sur SSL » que simplement « DNS sur SSL ».<br /> Les clients et serveurs, uniquement fait pour émettre et recevoir des requêtes DNS, doivent supporter un protocole supplémentaire (HTTP) qui n’apporte rien.<br /> Bon ok, côté utilisateur lambda c’est quasiment invisible. Néanmoins ça reste une mauvaise idée
ultrabill
En quoi faut-il « s’inquiéter » du streaming massif ? <br /> Quel rapport avec la privation des libertés et/ou les performances d’un protocole ?
Voir tous les messages sur le forum

Actualités du moment

Black Mesa : le remake de Half-Life sera disponible le 5 mars
Carmen Sandiego : une nouvelle expérience interactive... sur Netflix !
Ce smartphone vous permet d'utiliser Linux sans sacrifier Android
Première mise à jour pour le Galaxy S20 Ultra, avec des améliorations pour l'appareil photo
Apple retire discrètement le serveur web Zoom caché via une mise à jour sur Mac
Black Friday Amazon : Microsoft Surface Pro 7 à 799€ au lieu de 1069€
Comment régler les couleurs de son écran PC ?
4 techniques simples pour nettoyer son PC
Alimentation de 850 W pour le multi-GPU chez Corsair
Haut de page