Nouvelles

Le DoH, bonne ou mauvaise nouvelle ?

22 octobre 2019

Ces derniers mois, le DoH, ou « DNS over https », a suscité pas mal de réactions dans le secteur des registries, FAI et autres.

Mais qu'est-ce que le DoH ?

Le DoH est un protocol internet qui crypte les requêtes des utilisateurs finaux entre l’application ou le système d’exploitation qu’ils utilisent et le caching resolver, qui stocke les résultats des requêtes précédentes pour pouvoir les réutiliser de façon rapide. Le trafic DNS est non seulement crypté mais est également envoyé via la porte https standard (443). De cette façon ce trafic DNS n’est pas visible pour e.a. des réseaux d’entreprises et des FAI locaux. Le DoH est proposé en tant que service (résolveur) gratuit par des fournisseurs comme Google et Cloudflare. Ce qui signifie en gros que, les Google et les Cloudflare de ce monde collectent non seulement les données qu’ils pouvaient déjà voir en tant que fournisseur de ses propres services DNS, mais également les données qui n'étaient jusque-là visibles que par les FAI locaux.

Philip Du Bois, general manager DNS Belgium

Plusieurs grandes questions se posent

Les utilisateurs finaux (c'est-à-dire les personnes qui naviguent sur le net) sont-ils au courant ? Qu'advient-il des données collectées par ces géants de l'internet ? L'utilisateur final aura-t-il la possibilité d'opter pour le résolveur local régulier, pour éviter que ses requêtes DNS ne soient envoyées dans un autre pays ou ne sortent du réseau local de l’ entreprise ? Quelle est la valeur ajoutée du cryptage des requêtes DNS pour l'utilisateur final et quelle différence avec un VPN en tant que mesure de sécurité ? Enfin, quelles sont les répercussions possibles de ce service sur le travail d'enquête de la police et constitue-t-il dès lors une menace pour la sécurité nationale ou pour la sécurité générale des citoyens ?

Le raisonnement à l'origine de la mise en place du DoH tient au fait qu'aux États-Unis, par exemple, les FAI locaux collectent ces données de requêtes DNS auprès de leurs clients et s'en servent à des fins commerciales, par exemple pour leur envoyer des publicités ciblées.

L'utilisateur final et client de ces FAI qui souhaite échapper à ce système peut dès lors recourir à un service DoH proposé par Google et empêcher ainsi son FAI local d'avoir accès à ces données.

Ce service est aussi destiné à protéger la vie privée des utilisateurs finaux dans les pays où les droits de l'homme ne sont pas toujours la préoccupation première des politiciens et des autorités locales. Par exemple, dans certains pays, il est préférable de ne pas déclarer son appartenance à la communauté LGBT ou de taire son activisme contre le régime en place, etc. Il est alors plus sûr de cacher ses requêtes DNS pour éviter d'être découvert. Cela dit, on peut aussi se demander si ces fournisseurs de services DoH seront en mesure d'offrir leurs services dans ces pays et si les régimes plus autoritaires le permettront.

Libre choix

Pour les personnes résidant dans l'UE, où le respect de la vie privée est assuré par le RGPD et où les autorités locales responsables de cette question sont attentives aux pratiques abusives, nous ne voyons pas d'avantage immédiat à utiliser le DoH, sauf si vous faites plus confiance à Google et Cloudflare qu'à votre FAI local, soumis à la législation locale et européenne. Cependant, compte tenu du principe européen fondamental de la liberté de choix, il devrait également être possible d'effectuer un choix personnel en toute connaissance de cause.

En réalité, cependant, il se pourrait que le service DoH soit rendu obligatoire et intégré par défaut au navigateur (Mozilla a lancé sa coopération, dans le navigateur Firefox, avec le service DoH de Cloudflare et Google envisage de faire de même avec son navigateur Chrome). Dans ce cas, l'utilisateur final n'en saurait tout simplement rien et aurait encore moins le choix. 

Laisser le choix, c'est informer l'utilisateur final, lui expliquer les différences de manière honnête et objective, et lui offrir la possibilité de confirmer et de changer d'avis de façon simple.

Soit dit en passant, nous tenons à ajouter que ces mêmes géants de l'internet offrent actuellement des services de résolution non chiffrée aux utilisateurs finaux. On peut aussi s'interroger sur ce qu'il advient de ces données. Le seul fait que les requêtes soient cryptées ou non ne change rien aux éventuels problèmes de confidentialité ou de concentration du marché.

Enfin et surtout, le simple fait que ce service internet, certes facile, mais crucial, soit centralisé auprès de quelques parties seulement va à l'encontre de l'idée même de l'internet, qui se fonde sur la décentralisation afin de rendre l'internet et ses services aussi souples et redondants que possible. Veut-on vraiment conférer à 5 ou 10 acteurs ce pouvoir sur ce qui se passe en ligne, et s'en remettre à eux pour assurer la stabilité de l'internet ? Et si ces données venaient à être compromises ou utilisées à mauvais escient pour des campagnes publicitaires ciblées, etc. à contenu politique ? L’utilisation abusive de ces données, pour cibler un large public avec un contenu politique spécifique (faux) en période électorale, pourrait soudain devenir plus simple (et assurément intéressante).

Aujourd'hui, ce développement du DoH, ou du moins la façon dont il est proposé et intégré, soulève de nombreuses questions. Les prétendus avantages pour les utilisateurs finaux (européens) ne sont pas évidents. Les avantages supposés (un meilleur respect de la vie prive et un internet « plus rapide ») sont pour le moins trompeurs, tandis que les inconvénients potentiels semblent nettement plus évidents.

En résumé

Est-on prêt à rendre la tâche de nos services de police et de maintien de l'ordre plus ardue en utilisant le service DoH ? Est-on prêt à confier encore plus de données d'utilisateurs finaux aux géants connus de l'internet, qui n'ont jamais fait preuve d'un grand respect pour les informations qu'ils collectent déjà ?

Toutes ces questions pertinentes et l'absence de réponses solides et crédibles de la part des principaux fournisseurs de DoH devraient inciter nos décideurs politiques au niveau local et européen à réfléchir à deux fois avant de laisser cette affaire passer inaperçue. Nous estimons que le DoH, tel qu'il est actuellement utilisé et proposé, n'est pas une évolution positive évidente pour l'utilisateur final européen. Il n'apporte pas de valeur ajoutée manifeste à la communauté internet locale et pourrait même compromettre notre sécurité nationale.

Les responsables politiques ont tout intérêt à s'intéresser de près aux conséquences possibles du DoH sous sa forme actuelle.

Avec cet article, nous contribuons à réaliser ces objectifs de développement durable de l’Organisation des Nations Unies.