Agrandir
Getty Images
commentaires des lecteurs
124
avec 80 affiches participantes
Partagez cette histoire
Partager sur Facebook
Partager sur Twitter
Partager sur Reddit
Depuis plus de trois décennies, le fondement le plus important d'Internet a posé des menaces à la vie privée et à la sécurité des plus d'un milliard de personnes qui l'utilisent chaque jour. Désormais, Cloudflare, Apple et le réseau de diffusion de contenu Fastly ont introduit un nouveau moyen de résoudre ce problème en utilisant une technique qui empêche les fournisseurs de services et les fouineurs du réseau de voir les adresses que les utilisateurs finaux visitent ou auxquelles ils envoient des e-mails.
Les ingénieurs des trois sociétés ont conçu Oblivious DNS, un changement majeur par rapport au système de noms de domaine actuel qui traduit les noms de domaine conviviaux en adresses IP dont les ordinateurs ont besoin pour trouver d'autres ordinateurs sur Internet. Les entreprises travaillent avec l'Internet Engineering Task Force dans l'espoir qu'il devienne une norme à l'échelle de l'industrie. Abrégé en ODoH, Oblivious DNS s'appuie sur une amélioration DNS distincte appelée DNS sur HTTPS, qui en reste aux tout premiers stades de l'adoption.
La façon dont le DNS fonctionne maintenant
Lorsqu'une personne visite arstechnica.com - ou tout autre site Web, d'ailleurs - son navigateur doit d'abord obtenir l'adresse IP utilisée par le serveur d'hébergement (qui est actuellement 3.128.236.93 ou 52.14.190.83). Pour ce faire, le navigateur contacte un résolveur DNS qui est généralement exploité par le FAI ou un service tel que Google 8.8.8.8 ou Cloudflare 1.1.1.1. Depuis le début, cependant, DNS a souffert de deux faiblesses majeures.
Premièrement, les requêtes DNS et les réponses qu'elles renvoient n'ont pas été cryptées. Cela permet à toute personne en mesure de visualiser les connexions de surveiller les sites qu'un utilisateur visite. Pire encore, les personnes dotées de cette capacité peuvent également être en mesure de falsifier les réponses afin que l'utilisateur se rende sur un site se faisant passer pour arstechnica.com, plutôt que celui que vous lisez actuellement.
Publicité
Pour corriger cette faiblesse, les ingénieurs de Cloudflare et d'ailleurs ont développé DNS sur HTTPS, ou DoH, et DNS sur TLS, ou DoT. Les deux protocoles cryptent les recherches DNS, ce qui rend impossible pour les personnes entre l'expéditeur et le destinataire de voir ou de falsifier le trafic. Aussi prometteurs que soient le DoH et le DoT, de nombreuses personnes restent sceptiques à leur égard, principalement parce que seule une poignée de fournisseurs le proposent. Un si petit pool laisse ces fournisseurs en mesure de consigner l'utilisation d'Internet de potentiellement des milliards de personnes.
Cela nous amène à la deuxième lacune majeure du DNS. Même lorsque DoH ou DoT est en place, le cryptage n'empêche en rien le fournisseur DNS de voir non seulement les requêtes de recherche, mais également l'adresse IP de l'ordinateur qui les crée. Cela permet au fournisseur de créer des profils complets des personnes derrière les adresses. Comme indiqué précédemment, le risque de confidentialité devient encore plus important lorsque le DoH ou le DoT réduit le nombre de fournisseurs à une poignée seulement.
L'ODoH est destiné à combler cette deuxième lacune. Le protocole émergent utilise le cryptage et
Agrandir
Cloudflare
Comment ça fonctionne
Dans un
article de blog
présentant l'Oblivious DoH, les chercheurs de Cloudflare Tanya Verma et Sudheesh Singanamalla ont écrit :
Un travail en cours
Le message indique que les ingénieurs mesurent toujours le coût des performances de l'ajout du proxy et du cryptage. Les premiers résultats semblent cependant prometteurs. Dans une étude, la surcharge supplémentaire entre une requête/réponse DoH proxy et son homologue ODoH était inférieure à 1 milliseconde au 99e centile. Cloudflare fournit une discussion beaucoup plus détaillée des performances ODoH dans son article.
Publicité
Jusqu'à présent, ODoH reste un travail en cours. Avec le pilotage de Cloudflare, les contributions d'Apple et de Fastly, et l'intérêt de Firefox et d'autres, ODoH mérite d'être pris au sérieux. Dans le même temps, l'absence de Google, Microsoft et d'autres acteurs clés suggère qu'il reste encore beaucoup de chemin à parcourir.
Ce qui est clair, c'est que le DNS reste d'une faiblesse flagrante. Que l'un des mécanismes les plus fondamentaux d'Internet, en 2020, ne soit pas universellement crypté est tout simplement fou. Les critiques ont résisté au DoH et au DoT, craignant qu'il n'échange la confidentialité contre la sécurité. Si ODoH peut convertir les opposants et ne pas briser Internet dans le processus, cela en vaudra la peine.
Commentaires promus
suisse
a écrit:
afficher les guillemets imbriqués
Cela ne fait-il pas que passer la balle de l'opérateur DNS pouvant vous identifier, à celui qui gère le proxy pouvant vous identifier ? Je veux dire, à un moment donné, un ordinateur doit faire correspondre votre demande avec la réponse, et c'est juste une question de confiance que cet ordinateur n'est pas dirigé par un mauvais acteur...
Non, car la requête est cryptée afin que seul le fournisseur DNS (cible) puisse la décrypter. Le proxy ne peut pas et ne sait pas ce que contient la requête. Mais le fournisseur ne sait pas qui a envoyé la demande puisqu'elle provient du proxy.
Cependant, cela suppose que le proxy est exploité par quelqu'un d'autre que le fournisseur DNS. Si les deux sont sous le même toit, le proxy connaît la source et le DNS connaît la requête. En corrélant les enregistrements entre les deux systèmes, il serait toujours possible de démasquer le demandeur. Pour que cela fonctionne, il semble que le proxy et le fournisseur DNS devraient se trouver dans une infrastructure distincte, avec des protections de la confidentialité en place pour garantir que les deux ne comparez jamais les notes. À court d'un réseau ouvert de proxys aléatoires et de chemins de fournisseurs, à première vue, cela semble être un pas dans la bonne direction, mais pas une panacée en matière de confidentialité - certainement pas tant qu'il n'a pas été largement adopté et que la mise en œuvre n'est pas regroupés dans un petit nombre de fournisseurs.
