Jack Nicholson, The Shining
Jack Nicholson, The Shining

DoH, Le DNS sur HTTPS ne fait pas l’unanimité

L’Internet Engineering Task Force (IETF) vient d’adopter le standard RFC 8484, DNS Queries over HTTPS (DoH), requêtes DNS sur HTTPS.

Il définit un protocole pour envoyer des requêtes DNS et recevoir des réponses au-dessus de HTTPS, et donc TLS, i.e. une connexion chiffrée.

Les deux cas d’utilisation qui ont motivé sa création sont :

  • Empêcher des appareils sur le chemin d’interférer avec les opérations DNS ;
  • Permettre à des applications web d’accéder à des informations DNS en utilisant les interfaces de programmation existantes des navigateurs de manière sûre et consistante avec le Cross-Origin resource sharing (CORS).
    CORS est le partage des ressources entre origines multiples, un mécanisme qui consiste à ajouter des en-têtes HTTP afin de permettre à un agent utilisateur d’accéder à des ressources d’un serveur situé sur une autre origine que le site courant.
    Un agent utilisateur réalise une requête HTTP multi-origine (cross-origin) lorsqu’il demande une ressource provenant d’un domaine, d’un protocole ou d’un port différent de ceux utilisés pour la page courante.

Si ce nouveau protocole va théoriquement permettre d’obtenir l’adresse IP correspondant à une URL en toute sécurité, il est loin de faire l’unanimité.

L’un des créateurs du DNS, Paul Vixie, n’hésite pas à parler de catastrophe :

« Les fous ont pris le contrôle de l’asile » et

« RFC8484 va retourner en arrière la sécurité d’internet de décennies.»

Pour lui, DoH est un court-circuitage exagéré des réseaux des entreprises et des réseaux privés. Il affirme que DNS fait partie de la couche de contrôle, et non de la couche de données : les opérateurs de réseaux ont besoin de pouvoir le surveiller et filtrer.

Il recommande de toujours utiliser DoT (DNS au-dessus de TCP IP) au lieu de DoH.

DNS est un élément clé de l’infrastructure Internet, qui nécessite des améliorations de sa sécurité, car il est susceptible à de nombreuses attaques, comme les attaques distribuées par déni de service.

Si un logiciel malveillant parvient à altérer les tables DNS d’un ordinateur, elles peuvent donner à l’utilisateur l’impression qu’il surfe sur google, son compte bancaire ou le réseau privé d’une entreprise quand il est en fait sur serveur malveillant.

C’est pourquoi les entreprises ne donnent jamais un accès direct à un serveur DNS public, comme celui de Google ou d’Orange. Ils ont leurs propres serveurs DNS, et tous les ordinateurs de l’entreprise pointent sur ces serveurs.

Paradoxalement, le nouveau standard pourrait affaiblir la sécurité des entreprises. En rendant possible d’interroger DNS par le biais des API des navigateurs, il devient possible d’effectuer des requêtes DNS et de recevoir des réponses sans passer par les serveurs DNS de l’entreprise, et sans que l’entreprise ne s’en rende compte, puisque les connexions sont chiffrées…