Microsoft a annoncé la première version testable de la prise en charge DNS-Over-HTTPS (DoH), disponible pour son système d'exploitation Windows 10.
La prise en charge du protocole DoH, que Microsoft a annoncée pour la première fois en novembre, est disponible dans Windows 10 Insider Preview Build 19628. Elle est accessible aux membres de Windows Insider, qui est le programme de test logiciel ouvert de Microsoft qui permet de tester de nouvelles fonctionnalités en test, avant leur déploiement à grande échelle.
"Si vous aviez hâte d'essayer DNS-Over-HTTPS (DoH) sur Windows 10, vous avez de la chance: la première version testable est désormais disponible pour Windows Insiders", a dit Microsoft. "Si vous ne l'attendiez pas et que vous vous demandez en quoi consiste DoH, sachez que cette fonctionnalité changera la façon dont votre appareil se connecte à Internet et en est à un stade de test précoce, alors ne continuez que si vous en êtes sûr."
La prise en charge DoH sur Microsoft permet au système d'exploitation Windows d'utiliser des sessions de serveur de noms de domaine (DNS) chiffrées (par opposition aux requêtes DNS envoyées en texte clair).
Le support DoH tente ainsi de résoudre un problème de confidentialité de longue date pour les navigateurs Internet : même si les utilisateurs visitent un site en utilisant le canal HTTPS sécurisé, si leur requête DNS est envoyée via une connexion non chiffrée, n'importe qui peut intercepter les paquets envoyés. Cela ouvre la porte aux attaques MiTM où les réponses DNS peuvent être manipulées pour rediriger les utilisateurs vers des sites de phishing ou de logiciels malveillants. Il peut également permettre aux intermédiaires - tels que les fournisseurs d'accès Internet (FAI) ou les gouvernements - de voir quels sites Web les internautes visitent.
À un niveau plus proche, sans DoH, les requêtes DNS sont effectuées à partir d'une application vers un serveur DNS en utilisant les paramètres reçus d'un fournisseur de réseau local (généralement un FAI). DoH, d'autre part, enferme les demandes DNS dans des paquets HTTPS chiffrés et les envoie à un serveur DoH (appelé résolveur DoH), qui traite ensuite la demande et renvoie la réponse chiffrée. Dans le cas de Microsoft, trois serveurs sont actuellement pris en charge et sont utilisés comme résolveurs DoH - Cloudflare, Google et Quad9 (les trois fournissent DoH dans le cadre de leurs offres publiques). Microsoft a déclaré que Windows doit être configuré pour utiliser l'un de ces serveurs comme serveur DNS afin que DoH soit implémenté.
La fonctionnalité sera désactivée par défaut; les utilisateurs doivent d'abord s'assurer que leur compte Microsoft fait partie du programme Windows Insider et qu'ils se trouvent dans le Fast Ring (le Fast Ring permet à un certain nombre d'Insiders qui ont choisi de recevoir des versions ultra-précoces pour la prochaine mise à jour des fonctionnalités de Windows dix). Ensuite, ils peuvent vérifier qu'ils exécutent la version 19628 ou supérieure, en exécutant Windows Update et en redémarrant (en accédant à l'application Paramètres > Système > À propos).
Pour activer DoH, les utilisateurs peuvent ensuite :
- Ouvrez l'éditeur de registre
- Accédez à la clé de Registre HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\Dnscache\Parameters
- Créez une nouvelle valeur DWORD nommée «EnableAutoDoh»
- Définissez sa valeur sur 2
Depuis qu'il a été proposé pour la première fois en tant que norme en 2018, le DoH continue de gagner du terrain, mais il a été controversé. Alors que des organisations comme l'Electronic Frontier Foundation (EFF) ont exprimé leur soutien au DNS chiffré, certains craignent que la méthode permute un problème de confidentialité avec un autre. Les détracteurs affirment qu'en acheminant le trafic via un système de gestion de réseau de distribution de contenu (tel que Cloudflare et d'autres), de nouveaux référentiels centraux pour les requêtes DNS sont en cours de création qui pourraient être piratés ou utilisés pour exploiter des données personnelles identifiables.
Malgré ces inquiétudes, en mars 2018, Google et la Mozilla Foundation avaient commencé à tester des versions de DoH: Google a annoncé la disponibilité générale de son service Public DNS-over-HTTPS en juin dernier, tandis que la Mozilla Foundation en 2020 a déployé DNS-over-HTTPS par par défaut pour les utilisateurs de Firefox basés aux États-Unis.
Microsoft, pour sa part, n'a pas précisé quand la fonctionnalité sera largement disponible au-delà de la pré-version de Windows Insider.
Lieben AHOUANSOU,
Analyste en Sécurité Informatique
