Suite à l'article d'introduction sur la norme DNS over HTTPS (DoH) dont l'objectif est de chiffrer les flux DNS entre votre machine et votre résolveur DNS, je vais vous expliquer comment configurer DoH dans votre navigateur, que ce soit sous Firefox, Chrome, Edge ou encore Brave.
Vidéo complète sur le sujet : de la théorie à la pratique avec la configuration des navigateurs et une démo sous Windows 10 avec une rapide analyse de trames.
Il ne vous reste plus qu'à accéder à la partie de l'article (ou de la vidéo) qui correspond à votre navigateur, ou à vos navigateurs si vous en utilisez plusieurs. Chaque navigateur propose une liste de résolveurs DNS compatibles DoH, mais il est tout à fait possible d'utiliser le résolveur que l'on souhaite en spécifiant son adresse. Par exemple, pour utiliser le résolveur compatible DoH de chez Quad9, il faut utiliser cette adresse (et non 9.9.9.9) : https://dns.quad9.net/dns-query.
II. Configurer DNS over HTTPS dans Firefox
Commençons par le navigateur de Mozilla : Firefox. Ouvrez le navigateur et suivez la procédure suivante :
1 - Cliquez sur le menu en haut à droite puis sur "Options".
2 - Dans les options, au sein de la section "Général", descendez tout en bas de la page : vous y trouverez les paramètres réseau, cliquez sur "Paramètres".
3 - Cochez l'option "Activer le DNS via HTTPS" et là vous avez le choix entre Cloudflare, NextDNS ou Personnalisé, ce qui permettra d'indiquer l'adresse d'un autre résolveur.
Firefox - DNS over HTTPS
Voilà, c'est tout et vous allez voir que ce n'est pas plus compliqué avec les autres navigateurs.
III. Configurer DNS over HTTPS dans Brave
Si vous utilisez le navigateur Brave, voici comment activer le DNS over HTTPS. Ouvrez le navigateur et suivez les étapes suivantes :
1 - Ouvrez le menu en haut à droite et cliquez sur "Paramètres".
2 - Sur la gauche, cliquez sur "Paramètres supplémentaires", puis "Confidentialité et sécurité" et enfin sur "Sécurité".
3 - Au sein des paramètres de sécurité, il y a un paramètre nommé "Utiliser un DNS sécurisé" : cochez la case "Avec" et choisissez un fournisseur dans la liste ou alors prenez "Personnalisé" pour en utiliser un autre.
Brave - DNS over HTTPS
IV. Configurer DNS over HTTPS dans Chrome
La procédure pour Chrome et très proche de celle pour Brave, en même temps ils ont une base commune : Chromium. Voici les étapes à suivre pour le navigateur de Google.
1 - Ouvrez le menu en haut à droite et cliquez sur "Paramètres".
2 - Sur la gauche, cliquez sur "Confidentialité et sécurité" puis au centre sur la partie "Sécurité".
3 - Nous retrouvons l'option "Utiliser un DNS sécurisé", que je vous propose d'activer. Choisissez le résolveur DNS de votre choix et précisez un résolveur personnalisé.
Chrome - DNS over HTTPS
V. Configurer DNS over HTTPS dans Edge
Pour finir, nous allons voir comment activer le DoH dans Edge, le navigateur de Microsoft intégré à Windows 10.
1 - Cliquez sur le menu en haut à droite puis sur "Paramètres".
2 - Sur la gauche, cliquez sur "Confidentialité, recherche et services" puis cochez l'option "Utiliser un DNS sécurisé pour spécifier comment consulter l'adresse du réseau pour les sites web".
3 - Cochez la sous-option "Choisissez votre fournisseur de services" : il ne reste plus qu'à choisir.
Edge - DNS over HTTPS
A la suite de l'activation du DNS over HTTPS dans votre navigateur, vous pouvez vérifier que le DNS sécurisé est bien actif en effectuant un test via cette page : Cloudflare - Test Secure DNS
Voilà, vous n'avez plus de raison de ne pas utiliser un DNS sécurisé pour navigateur sur Internet. Dans le prochain article, nous parlerons de l'intégration de DoH au sein de Windows 10.
Electronic Arts, un éditeur de jeux vidéo très populaire, a reconnu ce jeudi soir avoir été victime d'une cyberattaque. Les pirates ont pu voler 780 Go de données, dont le code source du célèbre jeu Fifa 21, mais ce n'est pas tout !
Electronic Arts, dit EA, est à l'origine de nombreux jeux-vidéo à succès : il y a la série Fifa tout d'abord, mais aussi d'autres jeux comme Battlefield, les Sims, Need for Speed ou encore les jeux Star Wars. Alors, tous ces jeux vidéos ne sont pas victimes de cette attaque. D'après les informations relayées sur Internet, les pirates ont pu récupérer le code source de Fifa 21, ainsi que des serveurs de matchmaking, mais aussi celui du moteur graphique Frostbite Engine. Ce dernier élément est commun à de nombreux jeux de l'éditeur (Fifa, Battlefield, Star Wars, etc.).
D'après EA, les pirates ont publié de nombreux messages sur des forums du Dark Web, dans l'objectif de trouver un acheteur ! Pour prouver qu'ils ont bien récupéré les données en question, ils n'hésitent pas à relayer quelques extraits.
Quand il est question d'un piratage, on s'interroge toujours sur la fuite de données personnelles. En l'occurrence ici, des données au sujet des joueurs. D'après Electronic Arts, aucune donnée personnelle au sujet des joueurs n'a été compromise au cours de cette attaque informatique. Dans son communiqué officiel, l'éditeur précise : "nous n'avons aucune raison de penser qu'il existe un risque pour la vie privée des joueurs".
Pour tenter de comprendre ce qu'il s'est passé (et éviter que cela se reproduise), EA mène une enquête aux côtés des forces de l'ordre et d'experts en sécurité.
Ce n'est pas la première fois qu'un acteur majeur du jeu vidéo est victime d'une cyberattaque. Récemment, il y a eu d'autres éditeurs comme CD Projekt RED et Capcom, mais là avec E.A, cela semble plus important ! Coïncidence ou pas, cette révélation arrive juste après la publication du premier trailer, du très attendu Battlefield 2042.
Après plusieurs jours à teaser des informations à propos de son futur smartphone, OnePlus l'a dévoilé officiellement aujourd'hui ! Présentation du OnePlus Nord CE 5G.
Sur la lancée de ses nouveaux modèles haut de gamme, OnePlus 9 et OnePlus 9 Pro, l'entreprise chinoise vient de dévoiler un nouveau modèle à destination de sa gamme OnePlus Nord. Ce modèle CE, pour Core Edition, est doté d'un joli design avec de très beaux reflets à l'arrière.
Quand il parle de son nouveau smartphone, Pete Lau, le fondateur de OnePlus, se montre ambitieux : "Le OnePlus Nord CE 5G est la prochaine étape de notre engagement pour partager de grandes technologies avec le monde". Voyons comment se traduit cette ambition au niveau des caractéristiques de ce nouvel appareil.
Caractéristiques du OnePlus Nord CE 5G
Tout d'abord, parlons de l'écran. le OnePlus Nord CE 5G hérite d'un écran AMOLED Full HD+ de 6.43 pouces, avec un taux de rafraîchissement de 90 Hz. Pour améliorer le rendu de l'image et des couleurs, l'écran bénéficie du HDR10+.
Au niveau des composants, OnePlus a choisit d'intégrer un SoC Snapdragon 750 5G, qui apporte la compatibilité avec le réseau 5G comme son nom l'indique, et qui intègre un GPU Adreno 619. Par rapport à la génération précédente, le gain en performances serait de 20% pour le CPU et 10% pour le GPU.
La batterie intégrée au OnePlus Nord CE 5G est de 4 500 mAh, ce qui représente une augmentation de la capacité de près de 10% par rapport au premier modèle Nord. Pour la recharge, OnePlus continue de miser sur sa technologie Warp, puisqu'ici nous avons le droit à un chargeur Warp Charge 30T Plus. Le smartphone devrait se recharger de 0 à 70% en seulement 30 minutes. Si vous laissez le chargeur connecté toute la nuit, pas de panique : le smartphone OnePlus va gérer la charge de manière à ne pas impacter la santé de la batterie sur le long terme.
Quant à la partie caméra, le smartphone Nord CE 5G est doté d'un triple capteurs à l'arrière, avec un capteur principal de 64 mégapixels, un capteur de profondeur de champ de 2 mégapixels, et un capteur ultra grand angle de 8 mégapixels. À l'avant, OnePlus nous propose un capteur de 16 mégapixels pour réaliser nos selfies. L'appareil va profiter du mode Nightscape pour améliorer les prises de vue lorsque la luminosité est faible. Avec cette fonctionnalité, l'appareil va prendre jusqu'à 8 photos d'une même scène, pour ensuite les combiner et générer une photo plus lumineuse.
Au niveau de la connectique, nous avons un port USB-C, un port Jack 3.5mm et un double emplacement pour les cartes SIM. En complément, l'appareil a le droit au Bluetooth 5.1 (support aptX & aptX HD & LDAC & AAC), à la NFC et au Wi-Fi AC.
L'ensemble va tourner sur OxygenOS 11, bien sûr. Cela va permettre à l'utilisateur de bénéficier des fonctionnalités de la surcouche d'Android développée par OnePlus, notamment le Zen Mode et le Dark Mode. Le OnePlus Nord CE 5G aura le droit à 2 ans de mises à jour du logiciel, ainsi qu'un suivi sur 3 ans pour les mises à jour de sécurité.
Prix et disponibilité du OnePlus Nord CE 5G
Le OnePlus Nord CE 5G est disponible en précommande dès à présent ! Enfin, les membres de la communauté OnePlus peuvent le précommander en exclusivité dès maintenant (tout le monde peut s'inscrire), et cela jusqu'à vendredi 1h du matin. Dès le 12 juin à 11 heures, tout le monde pourra le précommander, et enfin, il sera disponible à la vente à partir du 21 juin, à 11 heures.
Le smartphone sera disponible en plusieurs coloris: Charcoal Ink, Blue Void, et un peu plus tard Silver Ray. Voici les prix annoncés par OnePlus :
OnePlus Nord CE 5G (6 Go + 128 Go) : 299 euros
OnePlus Nord CE 5G (8 Go + 128 Go) : 329 euros
OnePlus Nord CE 5G (12 Go + 256 Go) : 399 euros
Terminons par cette jolie photo de ce smartphone de ce léger, puisqu'il ne fait que 170 grammes pour 7,9 mm d'épaisseur. Alors, il vous plaît ce nouveau OnePlus ?
Microsoft a fait une annonce très intéressante : Visio, le célèbre logiciel de dessins et de diagrammes va être proposé en version Web et sera accessible via un abonnement Microsoft 365. Jusqu'ici, Visio était disponible seulement sous la forme d'une application Desktop.
La version Web sera disponible en juillet, et ce sera une version allégée en comparaison de la version Desktop que l'on connaît. Seth Patton, General Manager de Microsoft 365, précise que "Visio a longtemps été disponible uniquement en tant qu'application autonome, à acheter pour les personnes ayant des besoins spécialisés en matière de diagrammes. Mais, cela est en train de changer ! Nous avons conscience qu'il y a un besoin croissant des utilisateurs pour avoir une solution de création de diagrammes, permettant à chacun de transmettre des informations de manière plus efficace. C'est pourquoi nous sommes ravis d'annoncer que nous allons intégrer les fonctionnalités principales de Visio à Microsoft 365, et cela pour tous les clients avec une licence payante".
Visio, en mode Web
Par licence payante, Microsoft entend intégrer Visio pour tous les clients qui ont une licence étant dans cette liste : Microsoft 365 Business, Office 365 E1, E3, E5, F3, A1, A3, A5. Puisque les licences A1, A3 et A5 sont dans la liste, cette nouveauté va profiter également aux étudiants, si l'établissement utilise Office 365. Microsoft continue de renforcer son offre, à l'heure où la CNIL recommande aux établissements de l'enseignement supérieur de fuir les solutions comme Teams ou Zoom.
Grâce à cette version Web, Visio devrait pouvoir s'intégrer plus facilement au sein de l'écosystème Microsoft 365 / Office 365. Par exemple, une intégration avec Teams est déjà prévue.
Microsoft Visio, dans Teams
En complément, Microsoft proposera toujours les plans Visio Plan 1 et Visio Plan 2 qui permettent d'obtenir la version Desktop de Visio au travers d'un abonnement Microsoft 365. Cela existe déjà depuis plusieurs années.
Personnellement, il m'est arrivé d'utiliser Visio très régulièrement pour réaliser des schémas réseau, et je suis sûr que je ne suis pas le seul !
Le DNS over HTTPS (DoH) est une norme qui a pour objectif de chiffrer les requêtes DNS entre votre machine et votre serveur DNS. Comment fonctionne-t-il ? Est-il fiable ? Est-ce que ce protocole permet de protéger ma vie privée ? Différentes questions se posent et dans ce premier article sur le sujet, je vais vous en parler.
Vidéo complète sur le sujet : de la théorie à la pratique avec la configuration des navigateurs et une démo sous Windows 10 avec une rapide analyse de trames.
Le DNS est l'un des protocoles les plus anciens et surtout, c'est un protocole indispensable que l'on utilise tous au quotidien. Pour rappel, il sert à traduire les noms de domaine en adresse IP, alors d'un point de vue des utilisateurs il facilite grandement l'utilisation d'Internet au quotidien. On retient le nom de domaine d'un site, et non son adresse IP sinon cela pourrait être compliqué.
Néanmoins, le protocole DNS a beau être précieux, il a une faiblesse majeure : il n'a pas été pensé pour être sécurisé (comme les autres protocoles de sa génération, en fait). Forcément cela pose des problèmes, d'autant plus que ces dernières années le respect de la vie privée est devenu un enjeu majeur, tout comme la sécurité des données au sens large.
Aujourd'hui, le protocole HTTP non sécurisé dispose d'une version sécurisée avec le HTTPS, les protocoles de messagerie disposent aussi de versions sécurisées, etc... Quid du protocole DNS ?
Psst... Si vous ne maîtrisez pas la notion de DNS, je vous propose de découvrir ma vidéo "Le DNS pour les débutants" :
II. La notion de résolveur DNS
Le résolveur DNS correspond au serveur DNS sollicité lorsque votre machine a besoin de traduire un nom de domaine en adresse IP. Une étape indispensable pour contacter le bon serveur et accéder à votre site préféré.
Concrètement, lorsque vous contactez un site Internet en saisissant son nom de domaine directement dans la barre d'adresse, votre machine va envoyer une requête DNS au résolveur DNS pour lui poser une question simple : "Peux-tu m'indiquer l'adresse IP correspondante au site it-connect.fr ?". Si la réponse est connue, le serveur va répondre : "L'adresse IP du site it-connect.fr est 1.2.3.4", et votre machine va se connecter sur ce serveur.
Pour obtenir cette réponse, le résolveur va regarder dans son cache s'il a déjà l'information et si elle est toujours valide. Dans le cas où il n'a pas l'information, il va contacter le serveur DNS faisant autorité pour la zone de notre domaine afin de l'obtenir.
Sur Windows, on peut obtenir facilement l'adresse IP correspondante à un nom de domaine grâce à l'outil natif "nslookup". Il existe aussi sous Linux, mais il y a d'autres alternatives. L'utilisation basique de cet outil consiste à préciser le nom de domaine à résoudre : le résolveur DNS configuré sur votre machine (votre carte réseau) sera sollicité.
nslookup www.france.fr
A. L'échange entre la machine et le résolveur DNS est-il sécurisé ?
Cet échange entre votre machine et le résolveur DNS s'effectue en clair sur le réseau.
Lorsqu'un échange s'effectue en clair sur le réseau, cela signifie que le contenu de la requête, c'est-à-dire le contenu du message, est lisible. Autrement dit, il n'est pas protégé par du chiffrement.
Si un attaquant intercepte cette requête, il pourrait la consulter, la modifier et vous retourner une réponse falsifiée dont l'objectif serait de vous orienter vers un site Internet malveillant. Ce site malveillant pourrait être une copie du site sur lequel vous souhaitez accéder dans le but de récupérer vos identifiants de connexion, par exemple. Dans ce cas, nous parlerons d'une attaque de l'homme du milieu (man in the middle) où "l'homme du milieu" est représenté par l'attaquant puisqu'il se situe entre vous et le résolveur DNS.
Par défaut, le protocole DNS n'a pas de mécanisme pour s'assurer de l'authenticité de la réponse : qu'est-ce qui me garantit que je vais bien consulter le bon site Internet ? Autrement dit, le serveur DNS peut renvoyer n'importe quelle adresse IP, le client DNS lui fera confiance.
Cet exemple (il y en a d'autres) met en évidence ce besoin de sécuriser les échanges entre votre machine et le résolveur DNS.
B. Quel résolveur DNS doit-on utiliser ?
Au-delà de la problématique autour de la sécurité des échanges, il y a une autre question que l'on peut se poser : quel résolveur DNS doit-on utiliser ? Est-ce qu'il y a des résolveurs DNS plus fiables que d'autres ?
Prenons un exemple. Lorsque vous êtes chez vous et que vous utilisez la configuration par défaut de votre Box, vous utilisez les serveurs DNS de votre fournisseur d'accès à Internet (FAI). À première vue, ces résolveurs DNS sont fiables et, éventuellement, on peut dire qu'ils sont neutres. Mais ce n'est pas le cas.
Dans le cas où une décision de justice ordonne le blocage d'un site spécifique (ce qui est déjà arrivé pour des dizaines de sites de streaming tels que Allostream et Time2watch), les serveurs DNS des FAI ne répondront plus aux requêtes lorsqu'un client DNS demande l'adresse IP correspondante à un domaine bloqué. Pourtant le site existe et il est en ligne. On parle alors de résolveurs DNS menteurs.
En alternative, nous avons bien sûr les DNS de Google notamment le fameux "8.8.8.8" que certains connaissent surement. Disons que Google n'est pas réputé pour respecter la vie privée des utilisateurs donc si on peut en trouver un autre, ce n'est pas plus mal. Utiliser le DNS de Google, cela veut dire que l'on autorise Google à garder l'historique de nos requêtes DNS et potentiellement, à l'exploiter. Mais alors, quel résolveur DNS choisir ?
En parlant du DNS de Google, il y a d'ailleurs une histoire assez incroyable à ce sujet. En 2014, la Turquie avait décidé de bloquer Twitter et YouTube. Pour contourner cette censure, les internautes turcs utilisaient les DNS de Google. Pour faire passer le message, il y avait même des inscriptions sur les bâtiments pour diffuser l'adresse du DNS de Google. Le gouvernement a contre-attaqué en demandant aux FAI que les DNS de Google soient bloqués en redirigeant les requêtes vers des sites mis en place par les FAI.
Comme alternative à Google, il y a depuis 2018, le résolveur DNS du géant Cloudflare que vous pouvez utiliser en utilisant l'adresse IP "1.1.1.1". Il se veut rapide et respectueux de la vie privée, je pense que c'est un bon choix, mais il reste américain. Dans le doute, vous pouvez vous tourner vers le résolveur DNS Quad9, exploité par la Fondation Quad9 basée en Suisse et accessible à l'adresse IP 9.9.9.9 (d'où le nom Quad9). Je reviendrai plus en détail sur le choix du résolveur DNS au moment d'en choisir un à utiliser avec le protocole DNS over HTTPS : tous les résolveurs ne sont pas compatibles.
En fait, ce qu'il faut retenir c'est que le résolveur DNS n'est pas là pour sécuriser le protocole DNS, mais il a un rôle à jouer dans le respect de la vie privée : en quelque sorte, vous devez avoir confiance en votre résolveur DNS.
Pour vous convaincre que le résolveur DNS a un rôle à jouer dans le respect de la vie privée, lisez ce qui suit... Si vous utilisez toujours le même résolveur et que celui-ci garde un historique de vos requêtes DNS, ce dernier pour facilement retracer l'ensemble des sites sur lesquels vous vous rendez. Votre adresse IP publique (qui est un peu comme votre adresse postale sur Internet) sera liée à un ensemble de noms de domaine, ce qui permettra de dresser un profil type. Par exemple si l'adresse IP 3.4.5.6 demande l'adresse IP correspondant au site it-connect.fr, puis openclassrooms.com, puis pole-emploi.fr. On peut deviner que vous recherchez un emploi dans l'informatique et que vous êtes sans emploi, étudiant ou en reconversion professionnelle (simple exemple).
III. Quelles solutions pour sécuriser les échanges DNS ?
Pour répondre à la question "comment sécuriser les échanges DNS ?", il y a plusieurs pistes à explorer. Plusieurs termes reviennent souvent : DNSSEC, DNS over TLS, DNS over HTTPS, voire même DNSCrypt. Dans le cadre de la présentation de DNS over HTTPS, je vais m'intéresser aux trois premiers cités.
A. DNSSEC
Le DNSSEC (Domain Name System Security Extensions) est un protocole de communication qui a pour objectif d'apporter une couche de sécurité au protocole DNS. Les ingénieurs de l'IETF l'ont créé dans les années 1990.
Par l'intermédiaire de signatures numériques, le propriétaire d'une zone DNS va pouvoir signer les données des enregistrements DNS. C'est bien le contenu de la zone qui est signé et sécurisé, non pas les requêtes DNS. L'objectif étant d'authentifier le serveur qui répond à la requête DNS, mais aussi de s'assurer de l'intégrité de la réponse (pour être sûr qu'elle n'a pas été modifiée).
Cette méthode s'appuie sur de la cryptographie à clé publique où chaque zone dispose d'une paire de clés publique-privée. La clé privée reste secrète tandis que la clé publique sera publiée dans la zone directement. C'est intéressant, car cela va permettre à un résolveur DNS de vérifier l'authenticité des données de la zone DNS grâce à la clé publique et à la vérification des signatures. Dans le cas où l'authentification des données est réussie, le résolveur DNS retourne la réponse au client DNS, alors que si la signature est incorrecte, une erreur est renvoyée au client DNS. Cela peut signifier qu'il s'agit d'une attaque.
Concrètement, DNSSEC va permettre de lutter contre différentes attaques, et particulièrement l'empoisonnement du cache DNS, qui consiste à envoyer de fausses informations à un résolveur DNS qui cherche à résoudre un nom. Cette fausse information sera ensuite envoyée aux clients DNS. On dit que le cache est empoisonné, car il contient de fausses informations.
Pour que le mécanisme de protection de DNSSEC soit pleinement efficace, il faut que l'ensemble de la chaîne soit signée pour créer une chaîne de confiance. En fait, si l'on prend l'exemple du domaine "it-connect.fr", il faut appliquer DNSSEC sur la zone "it-connect.fr", mais également sur la zone ".fr" qui correspond à son domaine de premier niveau (ccTLD, gTLD, etc.). Rassurez-vous, c'est le cas pour toutes ces zones de premiers niveaux.
Pour activer le DNSSEC sur un domaine, au niveau de votre hébergeur ce n'est pas plus compliqué que de cocher une case dans les options de votre domaine. Par exemple chez OVH, il y a une option nommée "Délégation sécurisée - DNSSEC". Sachez également que DNSSEC peut être activé pour sécuriser la zone DNS d'un annuaire Active Directory.
Le DNSSEC est un premier pas en avant puisqu'il permet de s'assurer que le contenu de la réponse que l'on reçoit est authentique, qu’elle est saine et qu'elle correspond bien à notre requête. Néanmoins, il n'apporte pas de réponse à la problématique suivante : comment chiffrer les échanges DNS entre la machine et le résolveur DNS ?
B. DNS over TLS
Le DNS over TLS (DoT) est une norme qui a pour objectif de chiffrer le trafic DNS et permettre de sécuriser les échanges entre une machine et un résolveur DNS. Grâce à ce chiffrement, les attaquants (ainsi que les FAI) ne peuvent pas lire les données du trafic DNS, ni le modifier : une excellente protection contre les attaques de type "homme du milieu".
Le protocole TCP est utilisé pour établir la connexion par l'intermédiaire du port 853. Il s'agit d'un port dédié et cela peut s'avérer contraignant si le port est bloqué par le pare-feu qui se situe en sortie de votre réseau. Les paquets DNS sont chiffrés avec le protocole TLS pour sécuriser leur transmission.
C. DNS over HTTPS
Le DNS over HTTPS (DoH) est également une norme et elle est similaire au DNS over TLS. Clairement, son objectif est de chiffrer les échanges entre la machine qui effectue la requête DNS et le résolveur DNS en lui-même.
Là où il est différent, c'est dans son fonctionnement. Le protocole HTTPS est utilisé pour établir la connexion, ce qui implique que l'on utilise un port standard et qui sera celui du HTTPS : le port 443. Le trafic DNS quant à lui sera encapsulé au sein de la connexion HTTPS, tout en sachant que cette connexion bénéficie du chiffrement via TLS.
L'intérêt du DNS over HTTPS en comparaison du DNS over TLS, c'est qu'il utilise un protocole et un port standard : le HTTPS/443. Ce qui va lui permettre de passer plus facilement au travers des pare-feux, mais aussi de noyer les requêtes DNS dans la masse de trafic HTTPS.
Note : Le DNS over HTTPS correspond à la RFC 8484
Le DoH est probablement plus intéressant pour améliorer le respect de la vie privée des utilisateurs. Par contre, le trafic est difficilement identifiable, ce qui complique la tâche des administrateurs.
IV. DNS over HTTPS : quel résolveur choisir ?
Comme nous venons de le voir, le DoH permet de chiffrer les échanges DNS. Par contre, le résolveur DNS que l'on utilise sera toujours en mesure de savoir ce qu'on lui a demandé comme requête DNS : la requête n'est pas anonyme, elle est envoyée depuis notre machine.
Si l'on veut vraiment aller jusqu'au bout des choses, non seulement il faut utiliser le DNS over HTTPS pour sécuriser les échanges DNS, mais il faut aussi choisir un résolveur DNS dans lequel nous avons confiance. Un résolveur DNS respectueux de la vie privée, en fait. Le DoH n'empêchera pas le serveur DNS de mentir comme c'est le cas lorsqu'un FAI bloque un site suite à une décision de justice, et il n'empêchera pas non plus le résolveur DNS de collecter les données sur les requêtes DNS émises par les clients DNS.
Un bon résolveur DNS est un résolveur DNS qui n'applique pas de censure (à part éventuellement contre les sites malveillants) et qui ne collecte pas de données liées à l'utilisation. S'il est massivement utilisé c'est encore mieux, comme ça votre trafic sera noyé dans la masse. Les résolveurs DNS de Cloudflare et Quad9 sont compatibles DoH et ils me semblent pertinents, avec une petite préférence pour le second qui est basé en Europe (Suisse). Si vous en connaissez un, n'hésitez pas à partager l'information.
La théorie est posée, maintenant il reste à voir comment utiliser DoH sur son ordinateur, sa tablette ou son smartphone.
La bonne nouvelle, c'est que dans les prochains articles, nous verrons comment utiliser le DNS over HTTPS avec différents navigateurs (Firefox, Chrome, Edge ou encore Brave), mais aussi sur Windows 10.
Vidéo complète sur le sujet : de la théorie à la pratique avec la configuration des navigateurs et une démo sous Windows 10 avec une rapide analyse de trames.
