Les ingénieurs en sécurité proposent un protocole expérimental qui promet une plus grande confidentialité dans le fonctionnement du DNS, l’équivalent Internet d’un annuaire téléphonique.
Oblivious DNS-over-HTTPS (ODoH) décrit un protocole qui permet aux clients de cacher leurs adresses IP aux résolveurs DNS par le biais de proxys relayant des messages chiffrés DNS-over-HTTPS (DoH).
L’approche crée une configuration qui signifie qu’aucun serveur n’est au courant à la fois de l’adresse IP d’un client et du contenu des requêtes et des réponses DNS – un avantage significatif en matière de confidentialité.
Le protocole expérimental a été développé en dehors de l’IETF (Internet Engineering Task Force), mais avec la participation d’ingénieurs d’Apple, Cloudflare et Fastly.
Un détaillé schéma technique du protocole expérimentaldont ses développeurs espèrent qu’il suscitera une expérimentation et une interopérabilité à grande échelle, a été publié la semaine dernière.
En réponse à une question sur les cas d’utilisation de la technologie, l’un des auteurs du document technique ODoH a souligné les déploiements actuels avec Relais privé iCloud d’Apple (PDF) et Nuageux.
Selon Cloudflare, le protocole ODoH améliore la confidentialité des utilisateurs tout en visant à « améliorer l’adoption globale des protocoles DNS chiffrés », mais sans compromettre les performances et l’expérience utilisateur sur Internet.
Comment fonctionne Oblivious DNS sur HTTPS ?
Oblivious DNS-over-HTTPS fonctionne en ajoutant une couche de cryptage à clé publique, ainsi qu’un proxy réseau entre les clients et les serveurs DNS-over-HTTPS.
L’IETF Oblivious HTTP Application Intermediation (OHAI) groupe de travailoù la technologie est développée en tant que norme, offre un aperçu de la manière dont les ingénieurs aimeraient développer et affiner Oblivious DNS-over-HTTPS.
Cricket Liu, architecte DNS en chef chez Infoblox, a reconnu l’avantage de confidentialité que l’ODoH offre aux consommateurs tout en avertissant que la technologie pourrait contrecarrer le fonctionnement des contrôles de sécurité que l’on trouve dans de nombreux environnements d’entreprise.
Liu a déclaré : « Je pense que l’idée de base derrière Oblivious DNS est logique du point de vue de la confidentialité des consommateurs : vous blanchissez la requête et l’adresse IP source via une série de proxys, dont le premier voit l’adresse IP du demandeur et le second voit la requête elle-même.
« Du point de vue d’une entreprise, cependant, cela pose les mêmes défis que le DoH et peut-être plus, car l’utilisation d’un proxy DNS Oblivious externe laisserait les organisations informatiques aveugles à ce que font les employés. »
Le code source du protocole est accessible au public, de sorte que n’importe qui peut essayer ODoH ou exécuter son propre service ODoH.