DoH, ou DNS Queries over HTTPS, est un nouveau standard adopté par l’Internet Engineering Task Force (IETF) il y a onze mois, et qui commence à peine à être implémenté par les fournisseurs d’accès internet (FAI) ou les éditeurs de navigateurs web.
Il définit un protocole pour envoyer des requêtes DNS et recevoir des réponses au-dessus de HTTPS, et donc TLS, i.e. une connexion chiffrée. Théoriquement, il s’agit d’un progrès pour l’internaute, puisque ses requêtes DNS ne sont pas protégées
Mais l’un des créateurs du DNS (système de noms de domaines), Paul Vixie, n’hésita pas à l’époque à affirmer que
« Les fous ont pris le contrôle de l’asile » et
« RFC8484 va retourner en arrière la sécurité d’internet de décennies. »
Pour lui, DoH est un court-circuitage exagéré des réseaux des entreprises et des réseaux privés. Il affirme que DNS fait partie de la couche de contrôle, et non de la couche de données : les opérateurs de réseaux ont besoin de pouvoir le surveiller et filtrer.
Il recommande de toujours utiliser DoT (DNS au-dessus de TCP IP) au lieu de DoH.
C’est au tour des FAI et des politiciens américains de s’inquiéter de l’adoption de DoH par Google : une enquête du Comité juridique de la Chambre des représentants des États-Unis est lancée contre Google.
D’une part, parce que les FAI et les autres intermédiaires comme Akamai Technologies, vont perdre la connaissance qu’ils ont du trafic de leurs utilisateurs. En effet, la plupart utilisent les serveurs DNS préprogrammés dans leur box, leur téléphone portable etc.
Avec DoH, ils vont perdre cette connaissance. Et Comme Vixie le fait remarquer, opérateurs, FAI et entreprises peuvent avoir des motifs légitimes pour filtrer ou surveiller les serveurs DNS.
Google pourrait décider, même si l’entreprise le nie, de centraliser toutes les requêtes DNS. Tout comme de forcer les utilisateurs de Chrome à utiliser les services compatibles avec DoH, i.e. ceux de Google.
Ce que l’entreprise nie aussi. Par le passé, on a toutefois vu Google faire pression globalement sur les clés SSL et l’optimisation des pages web avec pour les appareils mobiles, sans quoi elles seraient dégradées dans les résultats de son moteur de recherche.
Comme celui-ci a un monopole de fait, les sites n’ont eu d’autre choix de s’adapter ou mourir.
Dans le cas présent, Google affirme qu’il s’agit de protéger l’internaute.
Mais encore une fois, il existe une option tout aussi sécurisée mais moins controversée : DoT.
Mozilla, l’éditeur de Firefox, est encore plus agressif. Il veut forcer tous les consommateurs à ne plus utiliser les serveurs DNS de leur FAI, et ne laisser le choix qu’aux entreprises qui utilisent des services comme Akamai.
Une attitude qui laisse pantois.