Cet article explique le DNS via HTTPS et comment l’activer, en modifier les paramètres ou désactiver cette fonctionnalité.

À propos du DNS via HTTPS

Quand vous saisissez une adresse web ou un nom de domaine dans la barre d’adresse (par exemple www.mozilla.org), votre navigateur envoie une requête vers Internet pour rechercher l’adresse IP de ce site web. Habituellement, cette requête est envoyée vers des serveurs au travers d’une connexion en texte brut. Cette connexion n’est pas chiffrée, ce qui rend facile à des tiers de voir sur quel site web vous allez vous rendre.

Le DNS via HTTPS (DNS over HTTPS en anglais, abrégé en DoH) fonctionne différemment. Ce protocole envoie le nom de domaine saisi vers un serveur DNS compatible avec le DoH en utilisant une connexion chiffrée HTTPS au lieu d’une connexion en texte brut. Les tiers sont ainsi empêchés de voir à quels sites web vous essayez d’accéder.

Bénéfices

Le DoH améliore la confidentialité en masquant les recherches de noms de domaine à quelqu’un rôdant sur un Wi-Fi public, votre FAI ou d’autres personnes dans votre réseau local. Le DoH, quand il est activé, assure que votre fournisseur d’accès à Internet (FAI) ne peut pas collecter et vendre des informations personnelles relatives à vos habitudes de navigation.

Risques

• Quelques personnes et organisations s’appuient sur le système des noms de domaine (Domain Name System abrégé en DNS) pour bloquer des logiciels malveillants, activer le contrôle parental ou filtrer les accès aux sites web de votre navigateur. Quand il est activé, le DoH contourne la résolution DNS locale et déjoue ces stratégies particulières. Lors de l’activation du DoH par défaut, Firefox permet aux utilisateurs et utilisatrices (par les paramètres) et aux organisations (par les stratégies d’entreprise et la recherche d’un domaine canari) de désactiver DoH quand celui-ci interfère avec une stratégie prioritaire.
• Lorsque le DoH est activé, Firefox dirige par défaut les requêtes DoH vers des serveurs DNS gérés par un partenaire de confiance qui a la possibilité de voir les requêtes des utilisateurs et utilisatrices. Mozilla a mis en place une sévère politique Trusted Recursive Resolver ou TRR (wiki en anglais) qui interdit à nos partenaires de collecter des informations personnelles permettant l’identification. Pour diminuer ce risque, nos partenaires s’engagent contractuellement à respecter cette politique.
• Les requêtes DoH pourraient se révéler plus lentes que les requêtes DNS habituelles, mais, par nos tests, nous avons mis en évidence que l’impact est minimal et, dans de nombreux cas, DoH se montre plus rapide (billet de blog en anglais).

À propos de notre déploiement du DNS via HTTPS

Nous avons terminé en 2019 le déploiement du DoH par défaut pour toutes les personnes utilisant Firefox pour ordinateur aux États-Unis et en 2021 pour toutes celles l’utilisant au Canada. Nous avons commencé en mars 2022 notre déploiement par défaut pour les utilisateurs et utilisatrices de Firefox pour ordinateur en Russie et en Ukraine. Nous travaillons actuellement au déploiement du DoH dans d’autres pays. Ce faisant, le DoH est activé pour tous les utilisateurs et utilisatrices en mode fallback (avec solution de repli). Par exemple, si les recherches de nom de domaine qui utilisent le DoH échouent pour une raison quelconque, Firefox utilise le serveur DNS par défaut du système d’exploitation plutôt qu’afficher une erreur.

Désactivation

Vous pouvez choisir de ne pas activer DoH ou de sélectionner un fournisseur DoH personnalisé dans les paramètres DNS via HTTPS de Firefox.

En outre, Firefox vérifie certaines fonctions de l’appareil qui pourraient être affectées si le DoH est activé, ce qui comprend :

• Les contrôles parentaux sont-ils activés ?
• Le serveur DNS par défaut filtre-t-il les contenus potentiellement dangereux ?
• L’appareil est-il administré par une organisation qui pourrait avoir une configuration spécifique de DNS ?

Si l’un de ces tests détermine que le DoH pourrait interférer avec une des fonctions, le DoH n’est pas activé. Ces tests s’exécutent chaque fois que l’appareil se connecte à un réseau différent.

Activer, désactiver et configurer DNS via HTTPS

Consultez l’article Configurer les niveaux de la protection par DNS via HTTPS dans Firefox.

Configurer des réseaux pour désactiver le DoH

• Configurer les réseaux pour désactiver DNS via HTTPS
• DNS via HTTPS – questions fréquentes

Client chiffré Hello (ECH)

Avec la version de Firefox 118, nous avons déployé une fonctionnalité de sécurité importante : le client chiffré Hello (ECH). Sa fonction principale est de renforcer la sécurité de l’établissement des liaisons initiales, la prise de contact, le handshake (littéralement « poignée de main »), au cours d’interactions sur Internet. L’ECH, associé au DNS via HTTPS (DoH), élève d’un cran la sécurité de la navigation :

• DoH comme condition préalable : tel qu’il est mis en œuvre dans Firefox, l’ECH repose sur DoH pour récupérer la clé nécessaire au chiffrement de la prise de contact. Sans DoH activé, ECH ne peut fonctionner.
• Protection synergique : DoH chiffre les requêtes adressées aux serveurs DNS, protégeant ainsi efficacement la conversion des noms de sites web en adresses IP. De son côté, ECH se concentre sur le chiffrement des échanges initiaux entre le navigateur et le site web. Ensemble, ils constituent une défense complète contre de nombreuses menaces informatiques.
• Protection renforcée : en activant à la fois ECH et DoH, les utilisateurs et utilisatrices bénéficient d’une double couche de protection de la vie privée, ce qui réduit les vulnérabilités potentielles et accroît la discrétion sur Internet.

Assurez-vous que DoH est activé dans Firefox pour bénéficier pleinement des améliorations de sécurité fournies par l’ECH. Pour une compréhension approfondie, consultez les articles Comprendre le client chiffré Hello (ECH) et Le client chiffré Hello (ECH) – questions courantes.