Après « DNS-over-HTTPS » (DoH), voici venu « Oblivious-DNS-over-HTTPS » (ODoH). Développé par des ingénieurs d’Apple, de Cloudflare et de Fastly, ce nouveau protocole DNS renforce considérablement la protection de la vie privée en cachant l’adresse IP de l’utilisateur vis-à-vis du serveur DNS, grâce à l’insertion de deux intermédiaires, un serveur proxy et un serveur target. Le premier permet de cacher l’adresse IP auprès du second. Le second déploie un couche de chiffrement de bout en bout avec le client, cachant ainsi le contenu de la requête auprès du premier.
Le résultat, c’est que ni le serveur proxy, ni le serveur target n’ont accès simultanément à l’adresse IP et à la requête DNS du client. En pratique, le serveur target et le serveur DNS pourront être dans une même machine physique. En revanche, il faut que le proxy soit totalement indépendant du reste, sinon ODoH perd de son intérêt. Avec DoH, les requêtes DNS sont certes chiffrées pendant le transport, mais le serveur DNS peut savoir quelle adresse IP consulte quel site web.
ODoH est un nouveau standard émergent au sein de l’IETF. Il faudra probablement des années avant qu’il ne soit largement déployé. Toutefois, CloudFlare vient d’activer à titre expérimental un service ODoH, en partenariat avec les sociétés PCCW Global, Equinix et Surf qui jouent le rôle de proxy. Les premières mesures montrent, sans surprise, que les performances d’ODoH sont moins bonnes que le simple DoH, pas tant en raison du chiffrement que de l’ajout d’intermédiaires. Mais cela reste nettement mieux que d’utiliser DoH sur Tor.
Source: CloudFlare
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.