DNS over HTTPS (DoH) : une sécurité renforcée sur Internet

Le Domain Name System (DNS) est une solution qui a fait ses preuves. Le principe est simple : l’uti­li­sa­teur saisit dans la barre d’adresse de son na­vi­ga­teur une adresse Web unique, puis le système identifie l’adresse IP cor­res­pon­dante dans un délai très court. Pour ce faire, on fait appel à dif­fé­rents serveurs de noms où est en­re­gis­trée l’adresse numérique qui cor­res­pond à l’URL. Bien qu’il reste en théorie par­fai­te­ment fonc­tion­nel, le DNS est devenu obsolète. Lorsque ce système a été développé, voilà déjà plusieurs décennies, la sécurité ne faisait pas partie des préoc­cu­pa­tions majeures.

Aujourd’hui, la situation a bien changé et le niveau de sécurité offert par le DNS est tout sauf sa­tis­fai­sant. En effet, il transmet les requêtes et réponses sans chif­fre­ment, ce qui signifie qu’elles peuvent être lues par n’importe qui - un cy­ber­cri­mi­nel par exemple, qui pourrait sans dif­fi­culté les in­ter­cep­ter sur son propre serveur. Ce phénomène de DNS Hijacking entraîne les uti­li­sa­teurs vers des sites infectés de malwares, utilisés pour de l’ha­me­çon­nage ou qui sub­mer­gent le visiteur d’une quantité in­croyable de pu­bli­ci­tés. C’est pourquoi le DNS over HTTPS (DoH) fait ac­tuel­le­ment l’objet d’un débat entre experts du domaine. Cette approche permet-elle de rendre la na­vi­ga­tion sur Internet plus sécurisée ?

Le DoH permet d’atteindre si­mul­ta­né­ment plusieurs objectifs : Le fait d’exécuter le DNS sur le protocole sécurisé HTTPS vise en premier lieu à renforcer la sécurité et la con­fi­den­tia­lité des uti­li­sa­teurs. La connexion HTTPS est chiffrée, ce qui empêche à des tiers d’in­ter­ve­nir ou d’espionner la ré­so­lu­tion du nom. Sans au­to­ri­sa­tion, il est im­pos­sible de savoir quelle est l’URL requise et par con­sé­quent de modifier la réponse fournie.

Cela permet de con­tri­buer à la lutte contre la cy­ber­cri­mi­na­lité tout en rendant plus difficile à mettre en œuvre toute tentative de censure sur Internet. En effet, certains gou­ver­ne­ments utilisent le DNS pour bloquer l’accès à des sites Internet con­si­dé­rés comme in­dé­si­rables. Il s’agit gé­né­ra­le­ment soit d’une atteinte à la liberté d’ex­pres­sion, soit à l’ap­pli­ca­tion sur Internet de lé­gis­la­tions locales, par exemple les lois qui in­ter­di­sent la por­no­gra­phie.

Certains four­nis­seurs d’accès à Internet (FAI) utilisent également à leur propre avantage la technique qui sous-tend le dé­tour­ne­ment de DNS : lorsqu’un uti­li­sa­teur saisit une adresse qui ne peut être résolue (par exemple à cause d’une faute de frappe), le serveur de nom renvoie en principe un message d’erreur. Certains FAI bloquent l’envoi de ce message et choi­sis­sent de rediriger l’uti­li­sa­teur vers leur propre site Internet, afin d’assurer la publicité de leurs propres produits ou de ceux de tiers. Cette démarche n’est pas illégale et elle ne nuit pas di­rec­te­ment à l’uti­li­sa­teur ni à son équi­pe­ment, mais cette re­di­rec­tion peut être perçue de façon négative.

Quoi qu’il en soit, il est in­té­res­sant d’améliorer les per­for­mances du DNS. Ce protocole n’est pas considéré comme étant fiable. L’uti­li­sa­tion du DoH en­traî­ne­rait au­to­ma­ti­que­ment l’in­ter­ven­tion du protocole TCP, beaucoup plus prompt à réagir en cas de pertes de données en cours de trans­mis­sion.

Certaines ré­so­lu­tions de noms peuvent être exécutées di­rec­te­ment dans la zone de saisie de l'uti­li­sa­teur : les in­for­ma­tions cor­res­pon­dantes sont ensuite stockées dans le cache du na­vi­ga­teur ou du routeur. Cependant, tout ce qui doit être envoyé via Internet passe gé­né­ra­le­ment par une connexion UDP. Cela permet un échange d’in­for­ma­tions très rapide, mais ce type de connexion n’est ni fiable, ni sécurisé. Il arrive ré­gu­liè­re­ment que des paquets de données se perdent lorsque ce protocole est utilisé, car il n’est pas assorti de mé­ca­nismes ga­ran­tis­sant la trans­mis­sion des données.

De son côté, DoH s’appuie sur HTTPS et donc aussi sur le TCP (protocole de contrôle des trans­mis­sions). Ce protocole est beaucoup plus souvent utilisé sur Internet. Les avantages sont doubles : d’une part, les con­nexions sont chiffrées et d’autre part, ce protocole garantit la trans­mis­sion des données.

En outre, avec le DNS over HTTPS, la com­mu­ni­ca­tion se fait toujours par le port 443. Étant donné que le trafic réel (par exemple l’accès aux sites Internet) passe également par-là, il devient im­pos­sible, pour un tiers, de faire la dis­tinc­tion entre une requête DNS et tout autre type de com­mu­ni­ca­tion. Cela permet à l'uti­li­sa­teur de bé­né­fi­cier d'un niveau de con­fi­den­tia­lité sup­plé­men­taire.

Les avantages du nouveau système sont évidents : cette tech­no­lo­gie assure davantage de sécurité et de con­fi­den­tia­lité. Dans la mesure où le DNS classique ne fournit aucun chif­fre­ment, le DoH est quoi qu’il arrive plus avan­ta­geux de ce point de vue. Il faut toutefois garder à l’esprit le fait que le DNS over HTTPS n’est ni com­plè­te­ment sécurisé ni com­plè­te­ment con­fi­den­tiel. Sur les serveurs de noms, où s’effectue la ré­so­lu­tion des noms, toutes les in­for­ma­tions de­vien­nent visibles, exac­te­ment avec le DNS classique. Dans la mesure où le DNS implique souvent plusieurs niveaux hié­rar­chiques, un nombre re­la­ti­ve­ment important de serveurs ap­pren­nent également quelle requête est faite et de qui elle provient. Cela implique de faire confiance aux parties prenantes du DNS dans la nouvelle tech­no­lo­gie.

La dif­fé­rence, c’est que le DNS over HTTPS déplace les res­pon­sa­bi­li­tés. Dans le schéma classique, les serveurs des four­nis­seurs d’accès à Internet prennent en charge une grande partie de la ré­so­lu­tion des noms. Dans le cas du DoH, ce sont les dé­ve­lop­peurs du na­vi­ga­teur qui décident vers quels serveurs ils veulent que soient trans­mises les requêtes au DNS. Pour Chrome, cela se fera pro­ba­ble­ment en passant par le serveur DNS de Google. Mozilla Firefox dirige d’ores et déjà les requêtes vers le pres­ta­taire Cloud­flare. Outre la question de savoir si ces en­tre­prises sont plus dignes de confiance que le FAI, cette as­so­cia­tion entraîne d’autres in­con­vé­nients pour certaines en­tre­prises.

Les critiques du DoH con­si­dè­rent que cette tech­no­lo­gie met en danger la neu­tra­lité d’Internet : en effet, il existe un risque que Google décide de répondre plus ra­pi­de­ment aux requêtes con­cer­nant ses propres services qu'aux requêtes de DNS vers d'autres sites Internet. La con­cen­tra­tion sur quelques four­nis­seurs de serveurs DoH entraîne également un risque de sécurité : il serait ainsi beaucoup plus facile pour des hackers de paralyser l’ensemble du DNS.

En plus du DNS over HTTPS, une autre technique de sé­cu­ri­sa­tion du système de noms de domaine est ac­tuel­le­ment à l'étude : le DNS over TLS (DoT). À première vue, les deux systèmes sont si­mi­laires, car DoH et DoT pro­met­tent tous deux aux uti­li­sa­teurs une sécurité et une con­fi­den­tia­lité accrues. Mais sur certains points, les tech­niques diffèrent. En principe, les deux solutions obéissent à des intérêts dif­fé­rents. Là où le DNS over HTTPS est prin­ci­pa­le­ment piloté par Mozilla, Google et les four­nis­seurs de serveurs DoH privés, le DoT est piloté par l'In­ter­net En­gi­nee­ring Task Force (IETF).

Sur le plan technique, le DoT se distingue de ses con­cur­rents en éta­blis­sant un tunnel TLS, et non plus une connexion HTTPS. Il est également possible d’utiliser un port différent. Alors que DoH fonc­tionne sur le port standard 443, comme nous l’avons vu ci-dessus, le DNS over TLS com­mu­nique sur le port séparé 853.