Les ingénieurs Apple travaillent avec Cloudflare et Fastly pour créer Oblivious DNS, une nouvelle norme qui rendra plus difficile le suivi des activités en ligne d’un utilisateur.

Apple Cloudflare

Internet offre diverses mesures de protection de la vie privée pour les utilisateurs, y compris le cryptage et les VPN, mais l’un des domaines les plus facilement traçables est le système de noms de domaine. La nature du DNS nécessite que certaines données soient envoyées et reçues entre les différentes machines en texte clair, facilement traçables par des tiers. Certains développements tels que DNS sur HTTPS (DoH) rendent plus difficile pour les attaquants de modifier les requêtes DNS pour pointer vers des sites malveillants, mais permettent toujours le suivi de l’activité des utilisateurs.

Dans le but de rendre le DNS plus sécurisé et moins traçable, une équipe d’ingénieurs d’Apple, Cloudflare et Fastly a proposé Oblivious DNS on HTTPS (ODoH). En séparant l’adresse IP de la requête, le système offre la possibilité que les requêtes DNS soient sécurisées car toutes les parties n’ont pas accès à la fois à l’IP et à la requête en même temps.

Le système fonctionne en s’appuyant à la fois sur la cryptographie à clé publique et sur un proxy réseau entre le client et le serveur DoH. La requête est cryptée par le client et envoyée au serveur DoH via le proxy. Le serveur DoH est capable de décrypter la requête, de produire une réponse, de crypter cette réponse et de l’envoyer au proxy, qui l’envoie ensuite au client.

En effet, le proxy a connaissance des messages chiffrés entre le client et le serveur DoH, mais pas du contenu du message. Pendant ce temps, le serveur DoH connaît le contenu du message lui-même, mais uniquement l’adresse proxy et non celle du client.

L’ajout de chiffrement et de déchiffrement, ainsi que d’un proxy, à une requête DNS peut être source de préoccupation pour les utilisateurs qui souhaitent que leurs requêtes DNS s’exécutent aussi rapidement que possible. Pour éviter ces problèmes, Cloudflare affirme que ses premiers tests de configurations ODoH sont en fait assez prometteurs.

Cloudflare et ses partenaires, dont PCCW Global, Surf et Equinix, ont déjà lancé Oblivious DNS sur des proxys HTTPS pour encourager le développement et la mise en œuvre du système, en utilisant le résolveur DNS 1.1.1.1 de Cloudflare. Les clients de test sont open source, pour permettre aux parties intéressées de le tester indépendamment.

Pour la version finale, cependant, beaucoup de temps passera, mais Apple sera certainement l’une des premières entreprises à intégrer le système DNS Oblivious sur iPhone, iPad et Mac.

Partager un commentaire