IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Trolldi : Mozilla nominé parmi les "Internet Villain" par l'ISPA britannique pour son support de DNS-over-HTTPS
Aux côtés de l'article 13 et de Trump

Le , par Stéphane le calme
22 commentaires

119PARTAGES

21  0 
L'association professionnelle des fournisseurs de services Internet (ISPA - Internet Services Providers’ Association) du Royaume-Uni a désigné Mozilla comme l’un des finalistes du prix Internet Villain de cette année.

Dans un billet de blog, elle a déclaré :

« L’Association des fournisseurs de services Internet est heureuse d’annoncer les finalistes du Internet Hero and Villain 2019.

« À une époque où la technologie et Internet ont pris une place prépondérante et sont un moteur d'innovation et de croissance, les problèmes politiques posés par cette perturbation font désormais partie des plus grands problèmes auxquels sont confrontés les décideurs dans le monde.

« Les nominations Internet Hero cette année incluent les entités qui font campagne pour améliorer la confiance et la confidentialité en ligne; tirant vers le haut l’évolution du paysage haut débit au Royaume-Uni; et travaillant sur les questions de gouvernance mondiale de l'internet. Tandis que les nominés Villain prennent en compte l’impact des nouvelles normes techniques sur les protections en ligne existantes, l’équilibre entre la liberté d’expression et le droit d’auteur en ligne et la chaîne logistique mondiale des télécommunications ».


L’ISPA britannique a publié la liste ci-dessous « après des semaines de consultation et un grand nombre de candidatures reçues par le public via e-mail et Twitter » :

ISPA Internet Hero
  • Sir Tim Berners-Lee : pour avoir lancé une Magna carta pour le Web visant à rétablir la confiance et à protéger la nature ouverte et libre d’Internet à l’occasion du trentième anniversaire du World Wide Web. Le contrat pour le Web est un effort visant à réunir les gouvernements, les entreprises, la société civile et les utilisateurs du Web afin de développer une feuille de route pour créer un Web au service de l’humanité et qui constitue un bien public pour tous, partout dans le monde.

    L’objectif est de se servir du contrat pour que chaque partie soit tenue responsable de faire sa part afin de créer un Web ouvert et gratuit.

    Ceux qui souscrivent aux principes contractuels auront l’occasion de définir un contrat complet dans le cadre d’un processus de collaboration avec les gouvernements, les entreprises et les internautes individuels, en négociant des actions spécifiques à entreprendre par chaque partie.
  • Andrew Ferguson OBE, éditeur, Thinkbroadband : pour ses analyses indépendantes et ses précieuses données sur le marché du haut débit au Royaume-Uni depuis 2000
  • Oscar Tapp-Scotting & Paul Blaker, équipe mondiale de la gouvernance de l’Internet, DCMS : pour avoir dirigé les efforts du gouvernement britannique pour assurer un programme équilibré et proportionné à la Conférence de l’Union internationale des télécommunications

ISPA Internet Villain
  • Mozilla : pour son approche proposée visant à introduire DNS sur HTTPS de manière à contourner les obligations de filtrage et les contrôles parentaux du Royaume-Uni, sapant ainsi les normes de sécurité Internet au Royaume-Uni
  • Article 13 de la directive sur le droit d'auteur : pour menacer la liberté d'expression en ligne en exigeant des « technologies de reconnaissance du contenu » sur toutes les plateformes
  • Le président Donald Trump : pour avoir créé une énorme incertitude dans la chaîne logistique mondiale complexe de télécommunications dans le but de protéger la sécurité nationale.

Le cas de Mozilla

L’ISPA britannique a donc dans sa liste des Internet Villain Mozilla en raison des projets de la Fondation visant à prendre en charge le protocole DNS sur HTTPS (DoH) dans son navigateur Firefox.

Qu’est-ce que DoH et pourquoi cela n’enchante pas les FAI ?

Le protocole DNS sur HTTPS (IETF RFC8484) fonctionne en envoyant des demandes DNS via une connexion HTTPS chiffrée, plutôt qu'en utilisant une demande UDP en texte brut classique, comme le système DNS classique fonctionne.

L'autre différence est qu'en plus d'être chiffré, le protocole DoH fonctionne également au niveau de l'application, plutôt qu'au niveau du système d'exploitation.

Toutes les connexions DNS sur HTTPS ont lieu entre une application (telle qu'un navigateur ou une application mobile) et un serveur DNS sécurisé et compatible DoH (résolveur).


Tout le trafic DoH est fondamentalement juste HTTPS. Les requêtes de noms de domaine DoH sont chiffrées, puis cachées dans le trafic Web normal envoyé au résolveur DNS DoH, qui répond ensuite avec l'adresse IP d'un nom de domaine, également dans un HTTPS chiffré.

Comme effet secondaire de cette conception, cela signifie également que chaque application contrôle la confidentialité de ses requêtes DNS et peut câbler une liste de serveurs DNS (résolveurs) sur HTTPS dans ses paramètres, sans dépendre des serveurs DNS par défaut du système d'exploitation (qui sont probablement DoH-non-compatible).

Cette conception de protocole signifie que les demandes DNS d'un utilisateur sont invisibles pour les observateurs tiers, tels que les fournisseurs de services Internet; et toutes les requêtes et réponses DNS DoH cachées dans un nuage de connexions chiffrées, indiscernables de l’autre trafic HTTPS.

En théorie, le protocole est un rêve des défenseurs de la vie privée, mais un cauchemar pour les fournisseurs de services Internet et les fabricants d'appareils de sécurité réseau.

Le Royaume-Uni a peur que DoH soit un handicap pour son schéma national de blocage du Web

Au Royaume-Uni, les fournisseurs de services Internet sont légalement contraints de bloquer certains types de sites Web, tels que ceux qui hébergent des contenus portant atteinte aux droits d'auteur ou faisant l'objet d'une marque. Certains fournisseurs d'accès bloquent également d'autres sites à leur discrétion, tels que ceux qui affichent un contenu extrémiste, des images pour adultes et de la pornographie enfantine. Ces derniers blocages sont volontaires et ne sont pas les mêmes partout au Royaume-Uni, mais la plupart des fournisseurs de services Internet ont généralement tendance à bloquer le contenu sur la maltraitance des enfants.

Il ne faut pas oublier que, pour pallier le problème de la facilité de consommer du média pour adulte en ligne, le gouvernement britannique a mis en œuvre les dispositions du projet de loi sur l'économie numérique adopté par le Parlement britannique en 2017. En vertu de la loi, les sites pornographiques commerciaux seront tenus de vérifier qu'un utilisateur britannique a plus de 18 ans avant de lui permettre d'accéder à du matériel pornographique. Les censeurs britanniques auront également le pouvoir d'interdire la pornographie en ligne « extrême », qui comprend certains types de contenu sexuel violent ainsi que du contenu impliquant des actes sexuels avec des cadavres ou des animaux.


En prévoyant de prendre en charge DNS-over-HTTPS, Mozilla compromet la capacité de nombreux FAI à détecter le trafic de leurs clients et à le filtrer pour les « sites malveillants » mandatés par le gouvernement.

Certains FAI basés au Royaume-Uni, tels que British Telecom, ont manifesté leur soutien public au protocole DoH, mais pas la grande majorité.

Conclusion

L’attaque de l’ISPA britannique fait suite à une période de deux mois au cours de laquelle Google et Mozilla ont été critiqués au Royaume-Uni pour leur projet de prise en charge de DNS-over-HTTPS dans leurs navigateurs respectifs, Chrome et Firefox.

À la mi-mai, la baronne Thornton, députée du parti travailliste, a évoqué le protocole DoH et le soutien imminent des éditeurs de navigateurs lors d'une session de la Chambre des communes, qualifiant le projet de menace pour la sécurité en ligne du Royaume-Uni.

De même, le GCHQ, les services de renseignement britanniques, a également critiqué Google et Mozilla, affirmant que le nouveau protocole entraverait les enquêtes de la police et risquerait de saper les protections que le gouvernement dispose déjà contre les sites Web malveillants.

Quoiqu’il en soit, les gagnants des Heroes and Villains de cette année seront choisis par le Conseil ISPA et seront annoncés lors de la cérémonie de remise des prix ISPA le 11 juillet à Londres.

Source : ISPA

Et vous ?

Que pensez-vous des différents nominés dans ces deux catégories ?
Auriez-vous voté pour une ou plusieurs autres entités ? Lesquelles ?
Que pensez-vous de la nomination de Mozilla ?
Qui mérite selon vous d'être lauréat chez les Heroes et chez les Villain ?

Voir aussi :

Parlement UK : EA préfère le terme "mécanique de surprise" à "loot box", assurant qu'il ne s'agit pas d'un jeu de hasard mais d'un système éthique
Apple et Google condamnent la proposition UK visant à espionner les messages chiffrés, en ajoutant un participant "fantôme" aux discussions de groupe
UK : dès le 15 juillet, les sites pornographiques seront obligés de procéder à une vérification de l'âge, sous peine d'être bloqués par les FAI
UK : Facebook ne doit pas se considérer comme étant un « gangster numérique » qui est au-dessus des lois, les législateurs envisagent de le superviser

Une erreur dans cette actualité ? Signalez-nous-la !

22 commentaires
Commenter Signaler un problème
onilink_
Avatar de onilink_
Membre émérite https://www.developpez.com
Le 05/07/2019 à 15:07
Donc le DoH c'est mal car ça respecte la vie privée?
15  0 
Jiji66
Avatar de Jiji66
Membre éprouvé https://www.developpez.com
Le 08/07/2019 à 9:06
Louable fonctionnalité qui a effectivement plusieurs avantages du point de vue de l'utilisateur final :
1-) Contourner la censure sur les requêtes DNS,
2-) Rendre beaucoup plus difficile pour le FAI de maintenir un historique de navigation,
3-) Grandement compliquer les attaques du type "homme du milieu".

Merci Mozilla
13  0 
BleAcheD
Avatar de BleAcheD
Membre confirmé https://www.developpez.com
Le 05/07/2019 à 15:11
Je suis d'accord avec 2 de la liste des "Villain", particulièrement l'article 13, mais Mozilla je l'aurai mis dans les héros. Chacun ses intérêts ...
J'aurai rajouté la nouvelle loi sur la cyberhaine à la place de Mozilla, mais bon, ne soyons pas chauvin
12  0 
4bstract
Avatar de 4bstract
Membre habitué https://www.developpez.com
Le 05/07/2019 à 15:44
Mozilla lutte pour la vie privé des utilisateurs, pour l'open source etcontre la collecte des données. De plus, elle offre beaucoup d'outils gratuitement qui sont une véritable alternative face aux grands du Net. Mettre la Fondation parmis les villains du Net est totalement déshonorant.

Cela montre bien le but politique de la manœuvre. C'est pas en rajoutant des blocages que l'Internet va s'améliorer, cela va uniquement accentuer la censure au profit des dirigeant du moment.
Pour le coup, la catégorie Trolldi est bien méritée
9  0 
Steinvikel
Avatar de Steinvikel
Membre expert https://www.developpez.com
Le 08/07/2019 à 13:52
Citation Envoyé par viper1094 Voir le message
J'ai pas trop compris ce qu'était doh, mais j'ai compris que ça rend https plus sécurisé et que ça permet des contournements de restrictions. Bon... Je crois que je suis pour.
Tu n'as pas bien saisi le contexte. Je vais tenter de l'expliquer.

D'un coté tu as internet, dont le premier maillon est obligatoirement l’infrastructure de ton FAI (ou de celui qui le loue à ton FAI), et de l'autre tu as ton réseau local (ton PC), et ta box internet a un pied dans chaque coté en faisant office de routeur.
Quand tu tapes une adresse web qui n'est pas sous la forme d'une IP, cela déclenche une requête DNS pour en trouver l'équivalent en IP.
Ton PC envoie la requête à ta box, qui est relayé à l'infrastructure connecté physiquement à ta box, puis est relayé à ton FAI (afin qu'il applique à ton trafic tout ce en quoi il est obligé ...ou a envie), puis transite dans l'internet jusqu'a atterrir sur le résolveur DNS qui te renvoies alors l'IP à travers le chemin inverse.
Jusque là, à travers le port 43 (non chiffré), c'est comme une jolie carte postale (pas une lettre sous enveloppe opaque) que tout les intermédiaires lisent avec une grande curiosité ! x)
La différence avec le DoH (ou mieux : DoT --> TLS), c'est que ce qui était fait auparavant avec ton IP, la requête, l'identifiant du navigateur web... est effectué uniquement pour échanger les clé publique et privé, la connexion sécurisé étant établie, la requête est envoyée.

J'espère que tu as saisies la différence plutôt conséquente.

Avant, pour sécuriser les échanges DNS, on était plutôt sur ce type de raisonnement :
l'envoi de la requête entre la source et le DNS s'effectue sans aucune authentification, n'importe quel tiers peu scrupuleux peu en tirer partie.
De nombreux détournements sont possibles, en particulier : par attaque sur le système de routage (opéré par un intermédiaire, ou bien par un FAI malhonnête)
NB : un FAI concurrent utilise l'infrastructure (mutualisé) de son concurrent ...il y a donc déjà un intermédiaire dans ce cas là.
Il n'y a donc aucunes garanties qu'on parle bien aux DNS resolvers. Pour s'en protéger, il existe plusieurs solutions techniques mais aucune ne semble réaliste.
Les seules solutions DNS (j'exclus IPsec et compagnie) possibles sont TSIG (RFC 2845), et SIG(0) (RFC 2931) (que personne n'a jamais déployé). TSIG repose sur un secret partagé, et est donc inutilisable pour un service public comme Google DNS
NB: Pour un minimum de sécurité DNS over HTTPS et DNS over TLS sont apparu.
NB: faire appel a un service non-Google, un tiers qui ne gèrent qu'un unique service limite les corrélations qu'ils peuvent établir et donc le mal qu'ils peuvent faire. Au contraire, Google, ayant une offre complète, peut établir des relations, mettre en connexion des données, et représente donc un danger potentiel plus important.
Externaliser son courrier à Gmail (ou son DNS à Google DNS), est une chose. Externaliser tous ses services en est une autre. Cela revient à avoir la même entreprise qui serait à la fois votre banque, votre médecin, votre épicier et votre garagiste...
Google peut gagner de l'argent (spéculation) :
en exploitant l'information recueillie pour améliorer le moteur de recherche,
en vendant cette information (les noms les plus populaires, par exemple, une information qui intéressera les domainers, surtout si la réponse est NXDOMAIN, indiquant que le domaine est libre),
en hébergeant, dans le futur (ce service n'existe pas aujourd'hui), moyennant finances, des serveurs faisant autorité, qui profiteront de la proximité du résolveur pour de meilleures performances. Google, futur hébergeur de TLD ?
Reconstituer la totalité d'un TLD, même lorsque celui-ci ne publie pas cette information, en comptant les noms dans les requêtes et les réponses obtenues.
Ou, tout simplement, s'assurer que l'Internet fonctionne bien, pour que les clients puissent aller voir les autres services de Google (chez certains FAI, les résolveurs DNS marchent mal, ce qui gêne sans doute Google dans son cœur de métier).
7  0 
BugFactory
Avatar de BugFactory
Membre chevronné https://www.developpez.com
Le 05/07/2019 à 17:58
Plus je lis les critiques contre DoH, et plus je me dis que c'est une bonne idée. Je suis le seul?
6  0 
emilie77
Avatar de emilie77
Membre éprouvé https://www.developpez.com
Le 08/07/2019 à 10:18
Merci Mozilla et a vous pour cet article
6  0 
Bardotj
Avatar de Bardotj
Membre habitué https://www.developpez.com
Le 08/07/2019 à 16:07
et dans l’exemple tout passe encore par cloudflare …

Pour ceux que cela interesse https://www.bortzmeyer.org/ regorge de détails rfc
3  0 
pcdwarf
Avatar de pcdwarf
Membre éprouvé https://www.developpez.com
Le 14/11/2019 à 10:54
Tout ce qui a été dit en faveur de DoH me semble légitime et tout a fait bien.
Cependant je trouve cette solution insatisfaisante car

1) Une connexion TLS, c'est beaucoup de paquets, donc ça sera moins performant que le DNS qui n'en emploie qu'un seul. (certes en contrepartie, les requêtes multiples devraient aller plus vite, donc admettons.)
2) ca casse la mécanique du resolveur local (décentralisé) en appelant par défaut un résolveur central chez un des grand fournisseurs "cloud"
3) ça ne résout pas du tout le problème du filtrage et de la censure car ces grand fournisseurs peuvent eux aussi filtrer ce qu'il veulent (et c'est centralisé, donc facile) Le fait que ces grands fournisseurs soient américains ne les rends pas tellement plus digne de confiance sur ce point.
4) ces grands fournisseurs ne fournissent pas ce "service" par philantropie. Leur intéret est l'analyse statistique des requêtes (comme fait déjà le fameux 8.8.8.8 de google)

Donc, de mon point de vue, DoH c'est un nouveau truc sympa, mais la façon dont ça risque de se déployer craint fortement.

Je trouve déplorable que le débat se résume aux "bons" contre les "méchants".
ça n'est jamais aussi simple que ça.
3  0 
Aiekick
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 05/07/2019 à 18:05
bravo Firefox, on se passera des anglais, ca ne me gêne aucunement
2  0 
Commenter Signaler un problème