Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Trolldi : Mozilla nominé parmi les "Internet Villain" par l'ISPA britannique pour son support de DNS-over-HTTPS
Aux côtés de l'article 13 et de Trump

Le , par Stéphane le calme

51PARTAGES

21  0 
L'association professionnelle des fournisseurs de services Internet (ISPA - Internet Services Providers’ Association) du Royaume-Uni a désigné Mozilla comme l’un des finalistes du prix Internet Villain de cette année.

Dans un billet de blog, elle a déclaré :

« L’Association des fournisseurs de services Internet est heureuse d’annoncer les finalistes du Internet Hero and Villain 2019.

« À une époque où la technologie et Internet ont pris une place prépondérante et sont un moteur d'innovation et de croissance, les problèmes politiques posés par cette perturbation font désormais partie des plus grands problèmes auxquels sont confrontés les décideurs dans le monde.

« Les nominations Internet Hero cette année incluent les entités qui font campagne pour améliorer la confiance et la confidentialité en ligne; tirant vers le haut l’évolution du paysage haut débit au Royaume-Uni; et travaillant sur les questions de gouvernance mondiale de l'internet. Tandis que les nominés Villain prennent en compte l’impact des nouvelles normes techniques sur les protections en ligne existantes, l’équilibre entre la liberté d’expression et le droit d’auteur en ligne et la chaîne logistique mondiale des télécommunications ».


L’ISPA britannique a publié la liste ci-dessous « après des semaines de consultation et un grand nombre de candidatures reçues par le public via e-mail et Twitter » :

ISPA Internet Hero
  • Sir Tim Berners-Lee : pour avoir lancé une Magna carta pour le Web visant à rétablir la confiance et à protéger la nature ouverte et libre d’Internet à l’occasion du trentième anniversaire du World Wide Web. Le contrat pour le Web est un effort visant à réunir les gouvernements, les entreprises, la société civile et les utilisateurs du Web afin de développer une feuille de route pour créer un Web au service de l’humanité et qui constitue un bien public pour tous, partout dans le monde.

    L’objectif est de se servir du contrat pour que chaque partie soit tenue responsable de faire sa part afin de créer un Web ouvert et gratuit.

    Ceux qui souscrivent aux principes contractuels auront l’occasion de définir un contrat complet dans le cadre d’un processus de collaboration avec les gouvernements, les entreprises et les internautes individuels, en négociant des actions spécifiques à entreprendre par chaque partie.
  • Andrew Ferguson OBE, éditeur, Thinkbroadband : pour ses analyses indépendantes et ses précieuses données sur le marché du haut débit au Royaume-Uni depuis 2000
  • Oscar Tapp-Scotting & Paul Blaker, équipe mondiale de la gouvernance de l’Internet, DCMS : pour avoir dirigé les efforts du gouvernement britannique pour assurer un programme équilibré et proportionné à la Conférence de l’Union internationale des télécommunications

ISPA Internet Villain
  • Mozilla : pour son approche proposée visant à introduire DNS sur HTTPS de manière à contourner les obligations de filtrage et les contrôles parentaux du Royaume-Uni, sapant ainsi les normes de sécurité Internet au Royaume-Uni
  • Article 13 de la directive sur le droit d'auteur : pour menacer la liberté d'expression en ligne en exigeant des « technologies de reconnaissance du contenu » sur toutes les plateformes
  • Le président Donald Trump : pour avoir créé une énorme incertitude dans la chaîne logistique mondiale complexe de télécommunications dans le but de protéger la sécurité nationale.

Le cas de Mozilla

L’ISPA britannique a donc dans sa liste des Internet Villain Mozilla en raison des projets de la Fondation visant à prendre en charge le protocole DNS sur HTTPS (DoH) dans son navigateur Firefox.

Qu’est-ce que DoH et pourquoi cela n’enchante pas les FAI ?

Le protocole DNS sur HTTPS (IETF RFC8484) fonctionne en envoyant des demandes DNS via une connexion HTTPS chiffrée, plutôt qu'en utilisant une demande UDP en texte brut classique, comme le système DNS classique fonctionne.

L'autre différence est qu'en plus d'être chiffré, le protocole DoH fonctionne également au niveau de l'application, plutôt qu'au niveau du système d'exploitation.

Toutes les connexions DNS sur HTTPS ont lieu entre une application (telle qu'un navigateur ou une application mobile) et un serveur DNS sécurisé et compatible DoH (résolveur).


Tout le trafic DoH est fondamentalement juste HTTPS. Les requêtes de noms de domaine DoH sont chiffrées, puis cachées dans le trafic Web normal envoyé au résolveur DNS DoH, qui répond ensuite avec l'adresse IP d'un nom de domaine, également dans un HTTPS chiffré.

Comme effet secondaire de cette conception, cela signifie également que chaque application contrôle la confidentialité de ses requêtes DNS et peut câbler une liste de serveurs DNS (résolveurs) sur HTTPS dans ses paramètres, sans dépendre des serveurs DNS par défaut du système d'exploitation (qui sont probablement DoH-non-compatible).

Cette conception de protocole signifie que les demandes DNS d'un utilisateur sont invisibles pour les observateurs tiers, tels que les fournisseurs de services Internet; et toutes les requêtes et réponses DNS DoH cachées dans un nuage de connexions chiffrées, indiscernables de l’autre trafic HTTPS.

En théorie, le protocole est un rêve des défenseurs de la vie privée, mais un cauchemar pour les fournisseurs de services Internet et les fabricants d'appareils de sécurité réseau.

Le Royaume-Uni a peur que DoH soit un handicap pour son schéma national de blocage du Web

Au Royaume-Uni, les fournisseurs de services Internet sont légalement contraints de bloquer certains types de sites Web, tels que ceux qui hébergent des contenus portant atteinte aux droits d'auteur ou faisant l'objet d'une marque. Certains fournisseurs d'accès bloquent également d'autres sites à leur discrétion, tels que ceux qui affichent un contenu extrémiste, des images pour adultes et de la pornographie enfantine. Ces derniers blocages sont volontaires et ne sont pas les mêmes partout au Royaume-Uni, mais la plupart des fournisseurs de services Internet ont généralement tendance à bloquer le contenu sur la maltraitance des enfants.

Il ne faut pas oublier que, pour pallier le problème de la facilité de consommer du média pour adulte en ligne, le gouvernement britannique a mis en œuvre les dispositions du projet de loi sur l'économie numérique adopté par le Parlement britannique en 2017. En vertu de la loi, les sites pornographiques commerciaux seront tenus de vérifier qu'un utilisateur britannique a plus de 18 ans avant de lui permettre d'accéder à du matériel pornographique. Les censeurs britanniques auront également le pouvoir d'interdire la pornographie en ligne « extrême », qui comprend certains types de contenu sexuel violent ainsi que du contenu impliquant des actes sexuels avec des cadavres ou des animaux.


En prévoyant de prendre en charge DNS-over-HTTPS, Mozilla compromet la capacité de nombreux FAI à détecter le trafic de leurs clients et à le filtrer pour les « sites malveillants » mandatés par le gouvernement.

Certains FAI basés au Royaume-Uni, tels que British Telecom, ont manifesté leur soutien public au protocole DoH, mais pas la grande majorité.

Conclusion

L’attaque de l’ISPA britannique fait suite à une période de deux mois au cours de laquelle Google et Mozilla ont été critiqués au Royaume-Uni pour leur projet de prise en charge de DNS-over-HTTPS dans leurs navigateurs respectifs, Chrome et Firefox.

À la mi-mai, la baronne Thornton, députée du parti travailliste, a évoqué le protocole DoH et le soutien imminent des éditeurs de navigateurs lors d'une session de la Chambre des communes, qualifiant le projet de menace pour la sécurité en ligne du Royaume-Uni.

De même, le GCHQ, les services de renseignement britanniques, a également critiqué Google et Mozilla, affirmant que le nouveau protocole entraverait les enquêtes de la police et risquerait de saper les protections que le gouvernement dispose déjà contre les sites Web malveillants.

Quoiqu’il en soit, les gagnants des Heroes and Villains de cette année seront choisis par le Conseil ISPA et seront annoncés lors de la cérémonie de remise des prix ISPA le 11 juillet à Londres.

Source : ISPA

Et vous ?

Que pensez-vous des différents nominés dans ces deux catégories ?
Auriez-vous voté pour une ou plusieurs autres entités ? Lesquelles ?
Que pensez-vous de la nomination de Mozilla ?
Qui mérite selon vous d'être lauréat chez les Heroes et chez les Villain ?

Voir aussi :

Parlement UK : EA préfère le terme "mécanique de surprise" à "loot box", assurant qu'il ne s'agit pas d'un jeu de hasard mais d'un système éthique
Apple et Google condamnent la proposition UK visant à espionner les messages chiffrés, en ajoutant un participant "fantôme" aux discussions de groupe
UK : dès le 15 juillet, les sites pornographiques seront obligés de procéder à une vérification de l'âge, sous peine d'être bloqués par les FAI
UK : Facebook ne doit pas se considérer comme étant un « gangster numérique » qui est au-dessus des lois, les législateurs envisagent de le superviser

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de onilink_
Membre expérimenté https://www.developpez.com
Le 05/07/2019 à 15:07
Donc le DoH c'est mal car ça respecte la vie privée?
15  0 
Avatar de Christian Olivier
Chroniqueur Actualités https://www.developpez.com
Le 07/07/2019 à 19:46
Fournir un DNS plus sécurisé ne fait pas de nous des méchants, répond Mozilla
À l'association des FAI du Royaume-Uni au sujet du DNS-over-HTTPS

L’association professionnelle des fournisseurs de services Internet (abrégé ISPA - Internet Services Providers’ Association) du Royaume-Uni a récemment désigné Mozilla comme l’un des finalistes du prix Internet Villain de 2019 aux côtés du président américain Donald Trump et de l’article 13 de la directive sur le droit d’auteur. Comme l’a souligné l’ISPA, « ;les nominés Villain prennent en compte l’impact des nouvelles normes techniques sur les protections en ligne existantes, l’équilibre entre la liberté d’expression et le droit d’auteur en ligne et la chaîne logistique mondiale des télécommunications ;».

L’ISPA a retenu la fondation Mozilla à cause de son initiative DNS-over-HTTPS (DoH) visant à mettre en place sur son navigateur une spécification pour la résolution à distance du Domain Name System (DNS) via le protocole HTTPS. D’après la Fondation, la mise en œuvre du DoH devrait améliorer la confidentialité et la sécurité des internautes tout en empêchant l’Eavesdropping et la manipulation de DNS par des attaques de l’homme du milieu.


Le protocole DoH fonctionne en prenant un nom de domaine qu'un utilisateur a tapé dans son navigateur puis en envoyant une requête à un serveur DNS pour connaître l'adresse IP numérique du serveur web qui héberge ce site spécifique. Mais il prend la requête DNS et l'envoie à un serveur DNS compatible DoH (résolveur) via une connexion HTTPS chiffrée sur le port 443, plutôt qu'en texte clair sur le port 53. De cette façon, il masque les requêtes DNS dans le trafic HTTPS régulier et augmente le niveau de sécurité / confidentialité des séances de navigation. Par ailleurs, chaque application contrôle la confidentialité de ses requêtes DNS et peut câbler une liste de serveurs DNS (résolveurs) sur HTTPS dans ses paramètres, sans dépendre des résolveurs par défaut du système d’exploitation (probablement DoH-non-compatible).

Le problème du point de vue de l’ISPA

En théorie, ce système compromet sérieusement la capacité de nombreux FAI à détecter le trafic de leurs clients et à le filtrer pour isoler les « ;sites malveillants ;» désignés par les régulateurs : un rêve pour les défenseurs de la vie privée, mais un cauchemar pour les fournisseurs de services Internet et les fabricants d’appareils de sécurité réseau. L’ISPA déplore le fait que cette initiative permettra aux internautes de contourner les obligations de filtrage, les contrôles parentaux et, plus largement, les normes de sécurité Internet en vigueur au Royaume-Uni. L’organisation estime que le DoH va nuire à l’obligation de filtrage et de régulation du contenu accessible en ligne instituée dans le pays et qui a été renforcée depuis l’adoption de la « ;Digital Economy Act 2017 ;».

La réponse de Mozilla

« ;Nous sommes surpris et déçus qu’une association regroupant des FAI ait décidé de dénaturer une amélioration de l’infrastructure Internet vieille de plusieurs décennies ;», a déclaré un porte-parole de Mozilla en guise de réponse aux allégations de l’ISPA. Il assure en outre : « ;un DNS plus privé ne pourrait pas empêcher l’utilisation du filtrage de contenu ou des contrôles parentaux au Royaume-Uni. DNS-over-HTTPS offrirait de réels avantages en matière de sécurité aux citoyens britanniques ;».

Mozilla insiste sur le fait que son objectif est de construire un Internet plus sûr et qu’elle milite pour une approche constructive sur les questions en rapport avec la sécurité lors des discussions avec les différentes « ;parties prenantes crédibles au Royaume-Uni ;», sans toutefois préciser si elle considérait l’ISPA comme tel.

L’éditeur de Firefox ne prévoit pas d’activer le DoH par défaut au Royaume-Uni. Cependant, son porte-parole a confié : « ;nous explorons actuellement des partenaires potentiels du DoH en Europe afin d’apporter cette importante fonctionnalité de sécurité à d’autres Européens de manière plus générale ;».

Comment activer le DoH

Le guide ci-dessous montre aux utilisateurs de Firefox comment activer cette fonctionnalité. Les paramètres devraient s'appliquer immédiatement. Dans le cas contraire, redémarrer Firefox après la configuration.

Étape 1 : tapez about:config dans la barre d’adresse et appuyez sur Entrée pour accéder au panneau de configuration de Firefox. Ici, les utilisateurs devront activer et modifier trois paramètres.

Étape 2 : le premier réglage concerne le mode « network.trr.mode » qui active le support du DoH. Ce réglage prend en charge quatre valeurs :

  • 0 - Valeur par défaut dans les installations Firefox standard
  • 1 - DoH est activé, mais Firefox choisit s'il utilise DoH ou un DNS régulier basé sur lequel renvoie des réponses de requête plus rapides
  • 2 - DoH est activé, et le DNS régulier fonctionne comme une sauvegarde
  • 3 - DoH est activé, et le DNS régulier est désactivé
  • 5 - Le DoH est désactivé


Étape 3 (facultative) : le deuxième paramètre qui doit être modifié est « network.trr.uri ». Il s'agit de l'adresse du serveur DNS DoH compatible où Firefox enverra des requêtes DNS DoH. Par défaut, Firefox utilise le service DoH de Cloudflare. Toutefois, les utilisateurs peuvent utiliser leur propre URL de serveur DoH.


Source : Forbes, Wiki Mozilla

Et vous ?

Que pensez-vous de la réponse de Mozilla ?
Quel serait votre classement du « top 3 des meilleurs vilains d’Internet » pour 2019 ?

Voir aussi

DNS-over-HTTPS : Mozilla estime que les premiers essais ont été réussis et va étendre le test à d'autres utilisateurs de Firefox
Parlement UK : EA préfère le terme "mécanique de surprise" à "loot box", assurant qu'il ne s'agit pas d'un jeu de hasard mais d'un système éthique
Firefox : des chercheurs en sécurité inquiets au sujet du mécanisme de résolution d'adresse DNS qui s'appuie par défaut sur les serveurs Cloudfare
15  0 
Avatar de BleAcheD
Membre du Club https://www.developpez.com
Le 05/07/2019 à 15:11
Je suis d'accord avec 2 de la liste des "Villain", particulièrement l'article 13, mais Mozilla je l'aurai mis dans les héros. Chacun ses intérêts ...
J'aurai rajouté la nouvelle loi sur la cyberhaine à la place de Mozilla, mais bon, ne soyons pas chauvin
12  0 
Avatar de Jiji66
Membre éclairé https://www.developpez.com
Le 08/07/2019 à 9:06
Louable fonctionnalité qui a effectivement plusieurs avantages du point de vue de l'utilisateur final :
1-) Contourner la censure sur les requêtes DNS,
2-) Rendre beaucoup plus difficile pour le FAI de maintenir un historique de navigation,
3-) Grandement compliquer les attaques du type "homme du milieu".

Merci Mozilla
12  0 
Avatar de 4bstract
Membre régulier https://www.developpez.com
Le 05/07/2019 à 15:44
Mozilla lutte pour la vie privé des utilisateurs, pour l'open source etcontre la collecte des données. De plus, elle offre beaucoup d'outils gratuitement qui sont une véritable alternative face aux grands du Net. Mettre la Fondation parmis les villains du Net est totalement déshonorant.

Cela montre bien le but politique de la manœuvre. C'est pas en rajoutant des blocages que l'Internet va s'améliorer, cela va uniquement accentuer la censure au profit des dirigeant du moment.
Pour le coup, la catégorie Trolldi est bien méritée
9  0 
Avatar de BugFactory
Membre expérimenté https://www.developpez.com
Le 05/07/2019 à 17:58
Plus je lis les critiques contre DoH, et plus je me dis que c'est une bonne idée. Je suis le seul?
6  0 
Avatar de Steinvikel
Membre expérimenté https://www.developpez.com
Le 08/07/2019 à 13:52
Citation Envoyé par viper1094 Voir le message
J'ai pas trop compris ce qu'était doh, mais j'ai compris que ça rend https plus sécurisé et que ça permet des contournements de restrictions. Bon... Je crois que je suis pour.
Tu n'as pas bien saisi le contexte. Je vais tenter de l'expliquer.

D'un coté tu as internet, dont le premier maillon est obligatoirement l’infrastructure de ton FAI (ou de celui qui le loue à ton FAI), et de l'autre tu as ton réseau local (ton PC), et ta box internet a un pied dans chaque coté en faisant office de routeur.
Quand tu tapes une adresse web qui n'est pas sous la forme d'une IP, cela déclenche une requête DNS pour en trouver l'équivalent en IP.
Ton PC envoie la requête à ta box, qui est relayé à l'infrastructure connecté physiquement à ta box, puis est relayé à ton FAI (afin qu'il applique à ton trafic tout ce en quoi il est obligé ...ou a envie), puis transite dans l'internet jusqu'a atterrir sur le résolveur DNS qui te renvoies alors l'IP à travers le chemin inverse.
Jusque là, à travers le port 43 (non chiffré), c'est comme une jolie carte postale (pas une lettre sous enveloppe opaque) que tout les intermédiaires lisent avec une grande curiosité ! x)
La différence avec le DoH (ou mieux : DoT --> TLS), c'est que ce qui était fait auparavant avec ton IP, la requête, l'identifiant du navigateur web... est effectué uniquement pour échanger les clé publique et privé, la connexion sécurisé étant établie, la requête est envoyée.

J'espère que tu as saisies la différence plutôt conséquente.

Avant, pour sécuriser les échanges DNS, on était plutôt sur ce type de raisonnement :
l'envoi de la requête entre la source et le DNS s'effectue sans aucune authentification, n'importe quel tiers peu scrupuleux peu en tirer partie.
De nombreux détournements sont possibles, en particulier : par attaque sur le système de routage (opéré par un intermédiaire, ou bien par un FAI malhonnête)
NB : un FAI concurrent utilise l'infrastructure (mutualisé) de son concurrent ...il y a donc déjà un intermédiaire dans ce cas là.
Il n'y a donc aucunes garanties qu'on parle bien aux DNS resolvers. Pour s'en protéger, il existe plusieurs solutions techniques mais aucune ne semble réaliste.
Les seules solutions DNS (j'exclus IPsec et compagnie) possibles sont TSIG (RFC 2845), et SIG(0) (RFC 2931) (que personne n'a jamais déployé). TSIG repose sur un secret partagé, et est donc inutilisable pour un service public comme Google DNS
NB: Pour un minimum de sécurité DNS over HTTPS et DNS over TLS sont apparu.
NB: faire appel a un service non-Google, un tiers qui ne gèrent qu'un unique service limite les corrélations qu'ils peuvent établir et donc le mal qu'ils peuvent faire. Au contraire, Google, ayant une offre complète, peut établir des relations, mettre en connexion des données, et représente donc un danger potentiel plus important.
Externaliser son courrier à Gmail (ou son DNS à Google DNS), est une chose. Externaliser tous ses services en est une autre. Cela revient à avoir la même entreprise qui serait à la fois votre banque, votre médecin, votre épicier et votre garagiste...
Google peut gagner de l'argent (spéculation) :
en exploitant l'information recueillie pour améliorer le moteur de recherche,
en vendant cette information (les noms les plus populaires, par exemple, une information qui intéressera les domainers, surtout si la réponse est NXDOMAIN, indiquant que le domaine est libre),
en hébergeant, dans le futur (ce service n'existe pas aujourd'hui), moyennant finances, des serveurs faisant autorité, qui profiteront de la proximité du résolveur pour de meilleures performances. Google, futur hébergeur de TLD ?
Reconstituer la totalité d'un TLD, même lorsque celui-ci ne publie pas cette information, en comptant les noms dans les requêtes et les réponses obtenues.
Ou, tout simplement, s'assurer que l'Internet fonctionne bien, pour que les clients puissent aller voir les autres services de Google (chez certains FAI, les résolveurs DNS marchent mal, ce qui gêne sans doute Google dans son cœur de métier).
6  0 
Avatar de emilie77
Membre averti https://www.developpez.com
Le 08/07/2019 à 10:18
Merci Mozilla et a vous pour cet article
5  0 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 05/07/2019 à 18:05
bravo Firefox, on se passera des anglais, ca ne me gêne aucunement
2  0 
Avatar de Conan Lord
Membre expert https://www.developpez.com
Le 05/07/2019 à 16:32
Dommage que Google n'ait pas sorti son moteur de recherche pour la Chine, il aurait remporté le podium pour avoir rétabli la confiance et contribué à faire respecter les normes de sécurité Internet !
1  0