Ingénieurs chez Cloudflare et Apple affirme avoir développé un nouveau protocole Internet qui comblera l’une des plus grandes lacunes de la confidentialité sur Internet dont beaucoup ignorent même l’existence. Surnommé Oblivious DNS-over-HTTPS, ou ODoH en abrégé, le nouveau protocole rend beaucoup plus difficile pour les FAI de savoir quels sites Web vous visitez.

Mais d’abord un peu sur le fonctionnement d’Internet.

Chaque fois que vous visitez un site Web, votre navigateur utilise un résolveur DNS pour convertir les adresses Web en adresses IP lisibles par machine afin de déterminer où se trouve une page Web sur Internet. Mais ce processus n’est pas chiffré, ce qui signifie qu’à chaque fois que vous chargez un site Web, la requête DNS est envoyée non chiffrée. Cela signifie que le résolveur DNS – qui peut être votre FAI sauf si vous l’avez modifié – sait quels sites Web vous visitez. Ce n’est pas génial pour votre vie privée, d’autant plus que votre FAI peut également vendre votre historique de navigation aux annonceurs.

Des avancées récentes telles que DNS-over-HTTPS (ou DoH) ont ajouté le cryptage aux requêtes DNS, ce qui rend plus difficile pour les attaquants de détourner les requêtes DNS et de diriger les victimes vers des sites Web malveillants au lieu du site Web réel que vous vouliez visiter. Mais cela n’empêche toujours pas les résolveurs DNS de voir quel site Web vous essayez de visiter.

Entrez ODoH, qui dissociera les requêtes DNS de l’internaute, empêchant le résolveur DNS de savoir quels sites vous visitez.

LIRE  Le fondateur de Zocdoc revient avec Shadow, une application qui retrouve les chiens perdus

Voici comment cela fonctionne: ODoH enveloppe une couche de cryptage autour de la requête DNS et la transmet à un serveur proxy, agissant comme intermédiaire entre l’internaute et le site Web qu’il souhaite visiter. Étant donné que la requête DNS est chiffrée, le proxy ne peut pas voir ce qui se trouve à l’intérieur, mais agit comme un bouclier pour empêcher le résolveur DNS de voir qui a envoyé la requête au départ.

«Ce que ODoH doit faire, c’est séparer les informations sur qui pose la question et quelle est la question», a déclaré Nick Sullivan, chef de la recherche de Cloudflare.

En d’autres termes, ODoH garantit que seul le proxy connaît l’identité de l’internaute et que le résolveur DNS ne connaît que le site Web demandé. Sullivan a déclaré que les temps de chargement des pages sur ODoH sont « pratiquement indiscernables » de DoH et ne devraient pas entraîner de changements significatifs dans la vitesse de navigation.

Une partie importante du bon fonctionnement d’ODoH est de s’assurer que le proxy et le résolveur DNS ne « s’entendent » jamais, dans le sens où les deux ne sont jamais contrôlés par la même entité, ou bien la « séparation des connaissances est rompue », a déclaré Sullivan. Cela signifie que vous devez vous fier aux entreprises qui proposent de gérer les procurations.

Sullivan a déclaré que quelques organisations partenaires utilisaient déjà des proxys, permettant aux premiers utilisateurs de commencer à utiliser la technologie via le résolveur DNS 1.1.1.1 existant de Cloudflare. Mais la plupart devront attendre qu’ODoH soit intégré dans les navigateurs et les systèmes d’exploitation avant de pouvoir être utilisé. Cela peut prendre des mois, voire des années, en fonction du temps nécessaire à ODoH pour être certifié en tant que norme par le groupe de travail sur l’ingénierie Internet.

Une énorme base de données de 8 milliards de fuites thaïlandaises sur Internet