Voulez-vous tester ODoH ? Apple, Cloudflare et Fastly ont lancé un appel dans ce sens. Et mis des outils à disposition.
Les trois entreprises tentent de standardiser, auprès de l’IETF, leur implémentation de cette extension du protocole DoH (DNS over HTTPS).
Le « O » initial signifie « oblivious » ; littéralement, « inconscient ». Il traduit un objectif : qu’aucun serveur n’ait jamais accès de manière simultanée à l’IP d’un client et à sa requête DNS. Cela implique le recours à un proxy*, additionné d’un chiffrement hybride à clés publiques.
Ce chiffrement est indépendant de la couche de transport (TLS/HTTPS). Il est rendu nécessaire par le fait qu’il existe deux connexions distinctes : client-proxy et proxy-serveur. Dans les grandes lignes, le client récupère, par DNSSEC, la clé publique de la cible – qui est généralement le résolveur DNS, pour des raisons de performances – et l’utilise pour chiffrer sa requête. Il y inclut de quoi permettre à la cible de déduire une clé symétrique… et de chiffrer sa réponse.
Le proxy n’est pas censé déchiffrer les requêtes, sauf en l’absence de variables définissant le serveur cible (targethost et targetpath). Côté client, il est recommandé d’utiliser des méthodes HTTP qui évitent la mise en cache (POST plutôt que GET, par exemple).
ODoH se présente comme une alternative « 100 % technologique » au système d’accords de confiance que Mozilla a mis en place. La fondation ne s’associe en l’occurrence qu’avec des partenaires DNS qui prennent des engagements sur la protection des données des utilisateurs.
Des bibliothèques expérimentales en Rust et Go sont disponibles depuis fin octobre. Cloudflare a par ailleurs intégré une cible ODoH dans son DNS récursif. Equinix, PCCW et SURF sont les premiers partenaires pour la fourniture des proxys.
* L’implémentation d’ODoH sur la couche applicative le rend plus « léger » que des solutions de type proxy Tor. Selon les benchmarks que présentent Apple et al., le délai médian de résolution DNS s’élève à 228 ms. Chiffrées, les requêtes pèsent environ quatre fois plus qu’en clair.
Photo d’illustration © chiqui – shutterstock.com
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…
Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…
