Mozilla a annoncé que son navigateur Firefox avait commencé à déployer aux États-Unis la fonction DNS via HTTPS par défaut pour tous les utilisateurs, une étape majeure en vue du chiffrement de la totalité du trafic Internet, visant également à lutter contre le risque d'attaque. Mais cette fonctionnalité que Mozilla présente comme « l'une des nombreuses mesures de protections de la vie privée » que l’éditeur compte prendre en 2020, pourrait aussi donner lieu à une longue bataille législative.
Sur le plan technique, le DNS via HTTPS (DoH) chiffre la recherche initiale du site web que l’on souhaite atteindre, connue sous le nom de système de noms de domaine ou DNS. « Le DNS est une base de données qui relie la dénomination courante du site, par exemple www.mozilla.org, à l’adresse IP (par exemple 192.0.2.1) exprimée dans une série de chiffres compréhensible par l'ordinateur », comme l’a expliqué Mozilla. En effectuant une « recherche » dans cette base de données, le navigateur web est capable de trouver des sites web pour votre compte ». Étant donné que ces requêtes, traitées en une fraction de seconde, incluent également l’adresse IP de l’utilisateur, un pirate pourrait voler ces informations pour créer un profil en ligne de l’utilisateur et des sites qu’il visite, ou le serveur lui-même pourrait recueillir ses données à des fins publicitaires ou de marketing, souvent à son insu. En activant par défaut le DNS via HTTPS, Firefox assure aux utilisateurs qu'il n'utilise que des serveurs de confiance - Cloudflare et NextDN - « qui s’engagent à supprimer toutes les données personnelles identifiables après 24 heures, et à ne jamais transmettre ces données à des tiers ». Donc, si l’on utilise le navigateur Firefox aux États-Unis, le trafic Internet ignorera le serveur du FAI et le redirigera vers Cloudfare ou NextDN pour assurer le chifrrement de bout en bout. C'est un peu comme si l’on surfait sur un réseau privé virtuel (VPN) sans s’y connecter.
Bataille sur le chiffrement en perspective
Cependant, contrairement à ce que l’on pourrait penser, tout le monde ne veut pas ou n’a pas besoin d’un chiffrement de bout en bout. La raison pour laquelle le DNS via HTTPS par défaut est limité aux États-Unis, c’est que le DoH par défaut rendrait beaucoup plus difficile la mise en place de filtres par les fournisseurs d'accès Internet.
Les navigateurs Chrome, Opera et Edge (Chromium), proposent aussi le DNS via HTTPS, mais il n'est pas activé par défaut et n'est pas très facile à mettre en œuvre. Le navigateur Safari d'Apple ne propose pas encore d'option DoH. Le gouvernement américain se méfie également du DNS via HTTPS. L’an dernier, la commission judiciaire de la Chambre des représentants a formulé des critiques à l’égard du navigateur Chrome de Google - qui propose le DoH en option.
Selon le Wall Street Journal, l’instance estime que le DoH « pourrait donner à Google un avantage concurrentiel en rendant plus difficile l'accès aux données des consommateurs pour les autres ». De plus, les fournisseurs d'accès Internet par câblés et non câblés craignent que le DoH n’empêche « des fonctionnalités Internet essentielles », notamment les contrôles parentaux, et qu'il « prive le gouvernement fédéral et le secteur privé de l’utilisation des informations DNS pour atténuer les risques de cybersécurité ».
Pour sa part, Mozilla minimise tout risque potentiel et s'engage à travailler avec les entreprises, les écoles et d'autres entreprises, ainsi qu'avec les fournisseurs d'accès Internet pour rassurer sur le DNS via HTTPS. Dans une déclaration à ZDNet, Mozilla a indiqué qu’il était « surpris et déçu de la présentation défavorable du DoH par une association de fournisseurs de services Internet, alors qu’il apportait une amélioration de l'infrastructure Internet vieille de plusieurs décennies ». Pour utiliser le DoH par défaut, il faut mettre à jour ou télécharger la dernière version du navigateur Firefox (73.0.1). Les utilisateurs peuvent désactiver cette fonction sur Firefox - ou l'activer, s’ils se trouvent hors des États-Unis. Pour cela, ils doivent décocher la case « Activer le DNS via HTTPS » dans les « Paramètres réseau » de la rubrique « Général » des « Préférences » de Firefox.