Le client chiffré Hello (ECH) – questions courantes

Qu’est-ce que le client chiffré Hello (ECH) ? En quoi est-ce important ?

L’ECH est une fonctionnalité de sécurité disponible dans Firefox comme dans d’autres navigateurs web importants. Il comble un vide entre la confidentialité en ligne et les infrastructures de sécurité existantes qui permettait de rendre accessibles les sites web visités à des intermédiaires sur un réseau tels que les FAI ou d’autres tiers non autorisés.

Comment activer l’ECH dans Firefox ?

Pour profiter de l’ECH dans Firefox, mettez à jour votre navigateur si vous n’utilisez pas la version 118 ou une ultérieure et activez le DNS via HTTPS.

Comment savoir si l’ECH est disponible pour moi ?

L’ECH a été rendu disponible d’abord dans la version 118 de Firefox puis activé par défaut à partir de la 119, mais il n’est actif que lorsque le DNS via HTTPS (DoH) est activé. En savoir plus sur le programme de déploiement du DNS via HTTPS.

L’ECH affecte-t-il ma vitesse sur Internet ?

Non. L’ECH ne demande à récupérer qu’une très petite quantité de données supplémentaires lors de la connexion à un site web. Ces données ne représentent que quelques centaines d’octets et sont insignifiantes pour avoir un effet sur votre vitesse de connexion à Internet. Firefox récupère ces données en même temps qu’il effectue la recherche DNS au moment de se connecter à un site web, ce qui garantit qu’il n’y a aucun retard supplémentaire pendant la connexion.

L’ECH affecte-t-il la compatibilité des sites web ?

L’ECH a été soigneusement conçu pour être interopérable avec les sites web et les serveurs existants. La norme actuelle demande aux serveurs d’ignorer l’ECH s’ils ne le comprennent pas et Firefox sait comment poursuivre alors la connexion sans aucune interruption de votre navigation. Nous avons mené un certain nombre d’études et de tests pour nous assurer que les sites web continuent de fonctionner correctement.

Puis-je utiliser l’ECH simultanément avec d’autres outils de sécurité comme les bloqueurs de publicités ?

Oui, l’ECH peut être utilisé en conjonction avec les bloqueurs de publicités. Ceux qui sont intégrés à Firefox en tant qu’extension fonctionnent automatiquement avec l’ECH et ne demandent aucune modification. Toutefois, les personnes qui utilisent du filtrage basé sur le DNS peuvent avoir besoin d’ajuster leur configuration afin d’utiliser l’ECH. Firefox a besoin d’être configuré avec un serveur DNS via HTTPS (DoH) pour activer l’ECH. Selon que le filtre DNS est hébergé localement ou chez un fournisseur en ligne, les instructions pour s’y connecter par DoH varient et les personnes utilisant de tels services doivent consulter la documentation qui les accompagne.

Puis-je utiliser l’ECH en même temps que d’autres outils de sécurité comme les VPN ?

Oui, la combinaison de l’ECH et d’un VPN peut même apporter une couche supplémentaire de vie privée et de sécurité. Pour utiliser l’ECH avec un VPN, le niveau de protection du DNS via HTTPS doit être Configurer les niveaux de la protection par DNS via HTTPS dans Firefox sur Protection renforcée ou sur Protection maximale. La raison en est que le mode de protection par défaut utilise le DNS du fournisseur du VPN au lieu du DoH afin de garantir le bon acheminement du trafic. Veuillez noter que lorsque des VPN sont utilisés dans un environnement d’entreprise ou en auto-hébergement pour se connecter à des ressources qui ne sont pas disponibles sur l’Internet public, la modification du niveau de protection du DNS peut affecter la disponibilité dans Firefox de ces ressources privées.

Y a-t-il des problèmes ou inconvénients concernant la confidentialité liés à l’ECH ?

L’ECH est un outil précieux pour renforcer confidentialité et sécurité, car il chiffre dès le début vos connexions aux sites internet. Néanmoins, il est important de noter que beaucoup de sites ne prennent pas en charge l’ECH pour l’instant, ce qui signifie que la connexion à ces sites ne bénéficie pas du surcroît de confidentialité offert par cette technologie. Dans un souci de protection, assurez-vous que votre navigateur Firefox reste bien à jour, recevant ainsi les dernières améliorations de sécurité, parmi lesquelles l’ECH. À la différence des technologies tel le VPN, l’ECH ni ne redirige le trafic de votre navigateur, ni n’implique de tiers. Il ajoute simplement un niveau de protection de chiffrement à vos connexions standard.

L’utilisation de ce chiffrement est-elle perceptible dans la navigation ?

Les personnes se servant de Firefox ne doivent remarquer aucune différence importante à leurs habitudes de navigation.

Comment l’ECH affecte-t-il le contrôle parental ?

Si le contrôle parental est actif, le chiffrement d’ECH est désactivé pour éviter toute interférence.

Comment l’ECH affecte-t-il les entreprises qui utilisent des proxies transparents ?

Le chiffrement d’ECH est automatiquement désactivé lorsque des proxies ou des assistants de routage middlebox considérés comme fiables par le navigateur sont détectés. Ainsi, les entreprises ne sont pas concernées.

Comment l’ECH interagit-il avec le refus des DoH ?

Le refus de l’utilisation du DNS via HTTPS (DoH) entraîne la désactivation de l’ECH dans Firefox par défaut. Ces exclusions peuvent être configurées par la personne utilisant Firefox ou par un logiciel installé sur son appareil, par des signaux provenant du réseau ou par le ou la responsable informatique grâce à une stratégie de groupe. Si la personne qui utilise Firefox ou celle qui administre le parc informatique opte explicitement pour une protection DoH renforcée ou maximale, son choix prime sur les signaux en provenance du réseau.

Quels sites peuvent utiliser l’ECH ?

Tout site peut employer l’ECH pour autant qu’il soit équipé du support nécessaire côté serveur. Sa confidentialité optimale est souvent obtenue quand plusieurs sites web sont hébergés sur un seul serveur web, configuration courante dans l’écosystème internet d’aujourd’hui.

Pourquoi est-il impossible aux utilisateurs et utilisatrices de contrôler directement l’ECH ?

Dans la droite ligne de notre engagement pour le respect de la vie privée et la sécurité par défaut, nous visons à équiper Firefox d’un ensemble complet de protections activées par défaut. En conséquence, l’ECH est activé par défaut, mais n’est pas utilisé si un logiciel de contrôle parental est mis en œuvre ou si Firefox a été configuré comme outil d’entreprise. Il en va pour l’ECH comme pour les autres technologies de sécurité et de confidentialité utilisées dans Firefox comme TLS 1.3 qui, lui non plus, ne propose pas de paramètre modifiable par les utilisateurs et utilisatrices.

Puis-je utiliser l’ECH avec n’importe quel fournisseur de DoH ?

Oui, tous les serveurs DoH, qu’ils soient hébergés localement ou fournis pour des services internet, peuvent être utilisés pour récupérer les enregistrements de l’ECH.

Puis-je utiliser l’ECH sans DoH ?

Utiliser l’ECH sans DoH n’est actuellement pas possible dans Firefox. Le fonctionnement de l’ECH dépend du DoH, car il chiffre la connexion initiale à un site web en tirant parti des clés de chiffrement fournies par le DoH. Par conséquent, pour utiliser l’ECH dans Firefox, vous devez avoir activé le DoH.

Gardez à l’esprit que, sans le DoH dans Firefox, les requêtes DNS ne sont pas chiffrées sur votre réseau local et sont susceptibles d’être de plus en plus surveillées. Si vous préférez utiliser un serveur DNS local, vous avez la possibilité d’auto-héberger le DoH, garantissant que le chiffrement de votre trafic DNS s’étende à votre réseau local.

Pourquoi l’ECH dépend-il du DoH ?

L’ECH dépend d’un nouveau type d’enregistrement DNS appelé enregistrement de ressource HTTPS. Il décrit la façon d’utiliser l’ECH pour se connecter à un site web. Pour que l’ECH garantisse une protection efficace de la vie privée, ces enregistrements doivent être récupérés par le biais d’une connexion chiffrée. Firefox utilise donc le DoH pour ce faire.

Nous savons bien que certaines personnes expertes préfèrent héberger localement leurs propres résolveurs DNS. Pour ce cas d’usage, nous recommandons l’auto-hébergement d’un serveur DoH et de configurer Firefox pour qu’il l’utilise. Cette solution garantit que votre trafic DNS local est chiffré entre votre client et votre serveur, empêchant ainsi d’autres appareils présents sur votre réseau local de surveiller ce trafic. Autrement, si cela est pris en charge, vous pouvez configurer Firefox pour utiliser le serveur DNS amont même qu’utilise votre résolveur local, dans la page des paramètres DNS.

À mesure de l’amélioration constante de la prise en charge par les systèmes d’exploitation du DoH et d’autres protocoles de transport DNS chiffrés, nous étudions les possibilités d’élargissement de la prise en charge de la récupération de ces enregistrements auprès du système d’exploitation.

Comment puis-je déterminer si l’ECH fonctionne pour moi ?

L’ECH n’est pas visible dans l’interface du navigateur, mais vous pouvez vérifier s’il est fonctionnel pour vous grâce au vérificateur de la sécurité de l’expérience de navigation de Cloudflare.

En savoir plus

Cet article vous a-t-il été utile ?

Veuillez patienter…

Ces personnes ont aidé à écrire cet article :

Mozinet, YD
Illustration of hands

Participer

Développez et partagez votre expertise avec les autres. Répondez aux questions et améliorez notre base de connaissances.

En savoir plus