{"id":2201,"date":"2020-02-20T08:37:53","date_gmt":"2020-02-20T05:37:53","guid":{"rendered":"https:\/\/vasexperts-ru.hst11.itglobal.com\/blog\/%d0%b1%d0%b5%d0%b7-%d1%80%d1%83%d0%b1%d1%80%d0%b8%d0%ba%d0%b8\/dns-https-point-contention\/"},"modified":"2025-08-11T14:14:05","modified_gmt":"2025-08-11T11:14:05","slug":"dns-https-point-contention","status":"publish","type":"post","link":"https:\/\/vasexperts.com\/fr\/blog\/telecom\/dns-https-point-contention\/","title":{"rendered":"DNS over HTTPS \u2013 s\u00e9curit\u00e9 ou complexit\u00e9 de fonctionnement"},"content":{"rendered":"Le protocole DNS over HTTPS (DoH) a pour principe de chiffrer les requ\u00eates et les r\u00e9ponses au serveur DNS. Les noms des serveurs distants auxquels l\u2019utilisateur acc\u00e8de \u00e0 l\u2019aide du DoH sont cach\u00e9s.\r\n\r\nLa cause du d\u00e9bat est qu\u2019une partie de la communaut\u00e9 consid\u00e8re que le protocole augmente le niveau de s\u00e9curit\u00e9 sur Internet et le met d\u00e9j\u00e0 en \u0153uvre dans les applications et les services, mais une autre parle de difficult\u00e9s suppl\u00e9mentaires dans le travail des administrateurs syst\u00e8me.\r\n\r\nPour comprendre l\u2019essence du conflit il faut comprendre le m\u00e9canisme du DNS over HTTPS. Si le nom d\u2019h\u00f4te et l\u2019adresse sont transmis en clair lors de l\u2019utilisation du DNS classique, le protocole DoH encapsule la demande d\u2019adresse IP dans le trafic HTTPS chiffr\u00e9. Ensuite, il est transmis au serveur HTTP et est trait\u00e9 \u00e0 l\u2019aide de commandes API.\r\n\r\nVoici un exemple de cette requ\u00eate de la RFC 8484 (page 4<\/a>) :\r\n
   :method = GET\r\n   :scheme = https\r\n   :authority = dnsserver.example.net\r\n   :path = \/dns-query?\r\n           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl\r\n           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z\r\n           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ\r\n   accept = application\/dns-message\r\n<\/pre>\r\nComme vous pouvez le voir dans l\u2019exemple, les requ\u00eates DNS sont anonymes, car elles sont cach\u00e9es dans le trafic HTTPS.\r\n\r\n
L\u2019anonymat c\u2019est bon, mais quel est le probl\u00e8me ?<\/h2>\r\nLa premi\u00e8re raison de l\u2019\u00e9chec du DNS over HTTPS est la r\u00e9duction de la s\u00e9curit\u00e9 du travail sur Internet. Il sera plus difficile pour l\u2019administrateur syst\u00e8me de bloquer les sites malveillants, car leurs noms ne peuvent pas \u00eatre retir\u00e9s du trafic HTTPS, et les utilisateurs ordinaires perdront la possibilit\u00e9 de contr\u00f4le parental dans les navigateurs de leurs appareils.\r\n\r\nLa l\u00e9gislation britannique, tout comme en Russie, oblige<\/a> les fournisseurs de services Internet \u00e0 bloquer les sites interdits. Avec le protocole DoH, il devient presque impossible de filtrer le trafic. Le Centre de communication du gouvernement pour l\u2019Angleterre (GCHQ) et l\u2019Internet Watch Foundation (IWF) s\u2019opposent \u00e0 la vulgarisation du protocole, leur t\u00e2che est de maintenir un registre des ressources bloqu\u00e9es.\r\n\r\nM\u00eame les syst\u00e8mes modernes de filtrage du trafic, tels que le Stingray Service Gateway<\/a>, ne peuvent pas effectuer une analyse compl\u00e8te du trafic HTTPS. Ils utilisent des m\u00e9thodes de classification par nom de service dans un certificat SSL\/TLS (Common Name) ou dans Server Name Indication (SNI), ainsi qu\u2019une analyse de signature de flux de trafic.\r\n\r\nLe deuxi\u00e8me probl\u00e8me de l\u2019utilisation de DNS over HTTPS est l\u2019\u00e9mergence de nouveaux logiciels malveillants qui utilisent les caract\u00e9ristiques du protocole. Par exemple, en juillet de cette ann\u00e9e, les sp\u00e9cialistes de la s\u00e9curit\u00e9 de l\u2019information Netlab ont d\u00e9couvert<\/a> un nouveau virus Godlua<\/a> utilisant le DoH pour proc\u00e9der des attaques DDoS. Le programme malveillant du DoH obtient des enregistrements de texte DNS (TXT) et des URL de serveur de gestion.\r\n\r\nLa menace de la cybers\u00e9curit\u00e9 est que les solutions antivirus populaires ne peuvent pas reconna\u00eetre les requ\u00eates DoH crypt\u00e9es. Ensuite, de nouveaux virus appara\u00eetront et la situation commencera \u00e0 s\u2019aggraver.\r\n\r\n
Il y a aussi des avantages<\/h2>\r\n\r\nLe nouveau protocole peut \u00e9galement renforcer la cybers\u00e9curit\u00e9, il permet de lutter contre les attaques<\/a> DNS hijacking, qui sont de plus en plus r\u00e9pandues. La preuve de cela peut \u00eatre trouv\u00e9e dans le rapport<\/a> de la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 informatique FireEye, et le protocole est \u00e9galement pris en charge par d\u2019autres grandes entreprises informatiques.\r\n\r\nGoogle teste DoH depuis l\u2019ann\u00e9e derni\u00e8re et, plus r\u00e9cemment, la soci\u00e9t\u00e9 General Availability a pr\u00e9sent\u00e9<\/a> son service DoH. Google estime que la diffusion du DoH am\u00e9liorera la s\u00e9curit\u00e9 des donn\u00e9es personnelles et fournira une protection contre les attaques MITM.\r\n\r\n\u00c0 son tour, Mozilla depuis<\/a> l\u2019\u00e9t\u00e9 dernier prend en charge le fonctionnement complet de DNS over HTTPS et est engag\u00e9 dans un support actif pour le protocole. \u2018Association des fournisseurs de services Internet Internet Services Providers Association (ISPA) a nomm\u00e9<\/a> Mozilla pour le prix \u00ab Internet Villain of the Year \u00bb ; les repr\u00e9sentants des navigateurs ont r\u00e9pondu<\/a> qu\u2019ils \u00e9taient d\u00e9\u00e7us de la tendance des op\u00e9rateurs de t\u00e9l\u00e9communications \u00e0 abandonner les mises \u00e0 niveau de l\u2019infrastructure et \u00e0 \u00ab suivre l\u2019air du temps \u00bb. Bien que la nomination a \u00e9t\u00e9 retir\u00e9e lorsque les principaux m\u00e9dias<\/a> et certains fournisseurs ont d\u00e9fendu Mozilla, et British Telecom a d\u00e9clar\u00e9 que le nouveau protocole ne ferait qu\u2019augmenter la s\u00e9curit\u00e9 des utilisateurs britanniques et n\u2019affecterait pas la qualit\u00e9 du filtrage du contenu.\r\n\r\n