Microsoft dit oui aux futures requêtes DNS cryptées dans Windows
Dans un message hier sur le blog Microsoft Tech Community, Tommy Jensen, Ivan Pashov et Gabriel Montenegro, membres de l’équipe Microsoft Windows Core Networking, ont annoncé que Microsoft prévoit d’adopter la prise en charge des requêtes cryptées du système de noms de domaine afin de « fermer une des dernières transmissions de noms de domaine en texte clair en trafic web commun ».
Cette prise en charge prendra d’abord la forme d’une intégration avec le DNS via HTTPS (DoH), une norme proposée par l’Office de la propriété intellectuelle du Canada. Groupe de travail sur le génie de l’Internet et soutenu par Mozilla, Google et Cloudflare, entre autres. « En tant que plate-forme, Windows Core Networking cherche à permettre aux utilisateurs d’utiliser tous les protocoles dont ils ont besoin, nous sommes donc ouverts à d’autres options telles que DNS over TLS (DoT) à l’avenir », écrit Jensen, Pashov et Montenegro. « Pour l’instant, nous accordons la priorité au soutien du ministère de la Santé comme étant le plus susceptible de fournir une valeur immédiate à tous. Par exemple, DoH nous permet de réutiliser notre infrastructure HTTPS existante. »
Mais Microsoft fait attention à la façon dont elle déploie cette compatibilité étant donné la lutte politique actuelle sur la DoH menée par les fournisseurs de services Internet qui craignent de perdre une source lucrative de données sur le comportement des clients.
Les fournisseurs d’accès Internet donnent un certain nombre de raisons pour expliquer leur opposition à la DoH. Puisqu’il les empêche de voir les requêtes DNS en texte clair, il empêche le filtrage et le blocage de certains contenus – y compris, au Royaume-Uni, l’application des exigences de filtrage de contenu qui leur sont imposées par la loi britannique. En raison de l’adoption du DoH comme partie intégrante du navigateur Web Firefox, l’Association des fournisseurs de services Internet du Royaume-Uni a nommé Mozilla « méchant de l’Internet ».
Aux États-Unis, les lobbyistes des FSI ont fait pression sur le Congrès pour empêcher Google de déployer DoH sur Chrome pour des motifs antitrust. Une partie de ce lobbying repose sur des affirmations selon lesquelles Google, comme l’affirme une lettre de Comcast aux membres du Congrès, « centraliserait une majorité des données DNS mondiales avec Google » et « donnerait à un seul fournisseur le contrôle du routage du trafic Internet et de vastes quantités de nouvelles données sur les consommateurs et les concurrents ».
Choix de l’administrateur
Selon les auteurs de l’article de Microsoft, l’implémentation Windows du support DoH ne changera pas le statu quo pour les utilisateurs d’entreprise ou de nombreux clients FAI. « Nous n’apporterons aucune modification au serveur DNS sur lequel Windows a été configuré pour être utilisé par l’utilisateur ou le réseau « , ont écrit Jensen et al :
…(W)e recherchera les possibilités de chiffrer le trafic DNS Windows sans changer les résolveurs DNS configurés par les utilisateurs et les administrateurs système.
Aujourd’hui, les utilisateurs et les administrateurs décident quel serveur DNS utiliser en choisissant le réseau auquel ils se connectent ou en spécifiant directement le serveur ; ce jalon ne changera rien à cela. Beaucoup de gens utilisent le filtrage de contenu ISP ou DNS public pour faire des choses comme bloquer les sites Web offensants. Changer silencieusement les serveurs DNS auxquels on fait confiance pour faire des résolutions Windows pourrait par inadvertance contourner ces contrôles et frustrer nos utilisateurs. Nous pensons que les administrateurs de périphériques ont le droit de contrôler où va leur trafic DNS.
Cependant, l’implémentation de Microsoft ne « gênera » pas non plus les applications qui utilisent DoH ou d’autres requêtes DNS cryptées elles-mêmes. Et il devra prévoir des mesures de repli en cas d’échec des demandes du ministère de la Santé. « L’utilisation du DoH sera renforcée afin qu’un serveur confirmé par Windows pour supporter le DoH ne soit pas consulté via le DNS classique », ont écrit les membres de l’équipe Core Networking. « Si cette préférence pour la confidentialité au lieu de la fonctionnalité perturbe les scénarios Web courants, nous le saurons tôt. »
Mais tout cela est pour l’avenir. Microsoft annonce son intention maintenant avant de mettre les premières versions de cette fonctionnalité à la disposition des initiés de Windows, parce que, comme les trois l’ont écrit, « Avec l’attention croissante accordée au DNS crypté, nous avons estimé qu’il était important de clarifier nos intentions aussi rapidement que possible. Nous ne voulons pas que nos clients se demandent si leur plate-forme de confiance adoptera ou non des normes modernes de confidentialité. »
Il semble également que Microsoft occupe une position favorable aux FAI, ainsi qu’aux entreprises, où ce qui pourrait se cacher dans le trafic DNS crypté provenant d’ordinateurs individuels pourrait constituer un problème de sécurité.