Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Comment activer les DNS chiffrés (DNS-over-HTTPS) dans Firefox ?

Je vous ai parlé des DNS chiffrés et de leur intérêt dans un article précédent, du coup pourquoi ne pas vous partager ce petit tuto trouvé sur Zdnet et dédié au navigateur Firefox. Le seul à gérer les DNS via HTTPS (DNS-over-HTTPS ou DoH) pour l’instant … mais pas par défaut.

Il va donc falloir mettre les mains dans le cambouis mais je sais que vous aimez ça ! 😉 Rassurez-vous c’est simple comme bonjour.

Comment ça marche ?

Le protocole DNS fonctionne en prenant le nom de domaine qu’un utilisateur saisit dans son navigateur et en envoyant une requête à un serveur DNS pour connaître l’adresse IP du serveur Web qui héberge ce site spécifique. Même principe pour les DNS chiffrés sauf que la requête est envoyée à un serveur DNS compatible et qu’elle est chiffrée via HTTPS sur le port 443, plutôt qu’envoyée en clair sur le port 53.

De cette façon, le protocole DoH masque les requêtes DNS au sein d’un trafic HTTPS normal de manière à ce que les observateurs tiers (FAI & Co) ne puissent pas connaitre les requêtes DNS exécutées par les utilisateurs. Ce qui empêche de déterminer quels sont les sites visités.

De plus le protocole fonctionne au niveau des applications, c’est-à-dire que les applis peuvent intégrer en dur une liste de serveurs compatibles vers lesquels envoyer automatiquement les requêtes. Liste qui prend alors le pas sur les DNS paramétrés par défaut présents au niveau de la config de l’OS. Dans la plupart des cas, ces derniers sont définis par votre fournisseur de services Internet.

Les applications prenant en charge DoH peuvent donc contourner assez efficacement les filtres des FAI locaux et accéder à du contenu pouvant être bloqué par un opérateur téléphonique ou un gouvernement local. Ce qui explique pourquoi les DoH font actuellement pas mal de bruit, c’est un pas de plus vers une confidentialité améliorée et une meilleure sécurité des utilisateurs. Et vu comme la surveillance généralisée prend de l’ampleur c’est toujours bon à prendre !

Bon maintenant préparez-vous un café et revenons au super-méchant de l’histoire (enfin selon les FAI britanniques) : Mozilla. Il existe 2 moyens d’activer les DNS via HTTPS dans votre Firefox, mais tout d’abord assurez-vous d’être à jour et d’avoir au minimum la version 62 du navigateur.

Méthode n°1 : Via les paramètres de Firefox (la plus simple)

1. Tapez directement about:preferences dans votre barre d’URL.

2. Dans la section Général (la page par défaut), rendez-vous en bas de page sur Paramètres Réseau et cliquez sur Paramètres.

Firefox parametres reseaux

3. Dans la fenêtre qui va s’ouvrir, vous devrez cocher l’option « Activer le DNS via HTTPS » puis sélectionner votre serveur DNS compatible. Par défaut ce sera le serveur de Cloudflare (Cloudflare 1.1.1.1 mais attention si vous avez une Livebox) avec qui Mozilla a un partenariat, mais vous pouvez aussi personnaliser le choix si nécessaire.

Opter pour Cloudflare est un choix correct car ce dernier collecte très peu de données sur les requêtes DoH provenant d’utilisateurs de Firefox. (D’où le partenariat)

Activer les DNS via HTTPS dans Firefox

Méthode n° 2 : via le fichier de configuration Firefox (pour les utilisateurs plus avancés)

1. Tapez about:config dans votre barre d’URL et appuyez sur « Entrée ». Vous accéderez alors au panneau de configuration de Firefox dans lequel vous allez devoir modifier 3 petites choses.

2. Le premier paramètre à chercher est celui qui gère le support des DoH, à savoir network.trr.mode. Vous devez passer sa valeur sur 2 (DoH est activé et le DNS normal prend le relais en cas de soucis). Pour modifier la valeur, il suffit de faire un clic droit -> modifier ou de double cliquer sur la ligne.

3. Second paramètre : network.trr.uri . Ce dernier gère l’URL du serveur compatible à contacter, par défaut ce sera donc https://mozilla.cloudflare-dns.com/dns-query, mais comme nous l’avons vu plus haut, d’autres URLs existent.

4. Cette dernière modification n’est pas obligatoire, mais elle servira de « filet de sécurité » en cas ou l’étape précédente ne fonctionne pas. L’option network.trr.bootstrapAddress va vous permettre d’entrer numériquement l’adresse du serveur choisit à l’étape 3. Pour Cloudflare ce sera 1.1.1.1 , pour Google 8.8.8.8. et pour les autres vous aurez besoin de connaitre l’adresse IP du serveur DNS compatible « over HTTPS ».

5. Vous pouvez aussi chiffrer le SNI en modifiant la valeur network.security.esni.enabled à true et en allant vérifier (après redémarrage que cela fonctionne sur le service de Cloudflare. (Merci à DeCo pour l’astuce)

Que vous utilisiez l’une ou l’autre de ces méthodes, tout devrait fonctionner directement. Si ce n’est pas le cas, redémarrez le navigateur et tadam !

Vous profiterez ainsi d’un surf un peu plus sécurisé qu’auparavant.

SENNHEISER HD-25 Casque Audio professionnel Noir – 4044155209242

Casque fermé professionnel robuste et isolant pour Dj et monitoring, Sensibilité élevée grâce aux bobines acoustiques légères en aluminium, Capable de gérer les très hauts niveaux de pression acoustique.


Réponses notables

  1. seb says:

    Je ne trouve pas les options de la méthode 1 sur la version mobile de Firefox, par contre la méthode 2 semble OK.
    niveau filtrage je vois bien comment ça marche, par contre niveau confidentialité je ne vois pas ce que ça change, le FAI voit bien les trames aller et venir entre nous et le site internet non? Il ne sait pas ce qui passe mais il sait que ça communique entre les deux, il sait que j’ai surfé pendant 1h sur une ip d’un site de film de vacances par exemple.

  2. Utilisant Firefox 60.8.0esr sous windows, quelques options sont bloqués…

    • Pour la Méthode 1, dans about:preferences \Proxy Réseau\Paramètres\ la case “Activer le DNS via HTTPS” ne semble pas apparaitre
    • Pour la méthode 2, dans about:config, aucunes option de network.security n’apparait, me bloquant pour chiffrer le SNI
    • Lorsque je fait le test “ESNI Checker” chez Cloudfare, je vois que je n’utilise pas le TLS 1.3, alors que l’option “security.tls.version.max” est bien à 4

    Je pense donc que sur les versions esr de firefox, les options se cachent ailleurs :slight_smile:
    ++

  3. berlo says:

    @Dumbarr : J’ai vu chez Quad9 que c’était valable à partir de la version 62.

    edit : et c’est indiqué dans l’article de Korben aussi …

Continuer la discussion sur Korben Communauté

2 commentaires supplémentaires dans les réponses

Participants