L'IETF (l'organisme qui fait les normes techniques de l'Internet) vient de créer le groupe de travail DPRIVE (« DNS private exchange »), consacré au travail sur l'amélioration de la vie privée pour les utilisateurs du DNS (eh oui, chaque fois que vous vous connectez sur http://www.siteporno.fr/, des tas de gens sont au courant, pas uniquement la NSA et votre FAI).
La charte du groupe de travail, avec les échéances, est en ligne.
Le groupe n'a pas encore de documents mais il est en plein « call for adoption » de son premier Internet-Draft (qui semble faire consensus), la description du problème. Pour les solutions (probablement du chiffrement de la communication DNS), il faudra attendre un petit peu.
Le groupe aura sa première rencontre physique à Honolulu en novembre. Mais, comme tous les groupes de travail IETF, le travail officiel est fait sur la liste de diffusion publique. Engagez-vous, rengagez-vous.
À noter qu'une partie du travail est faite dans un autre groupe, DNSOP, pour de subtiles raisons internes à l'IETF. C'est DNSOP qui travaillera sur une technique non-cryptographique, la « QNAME minimisation » (envoyer la requête "fr" à la racine et pas l'entier "www.siteporno.fr").
# linuxfr.xxx
Posté par devnewton 🍺 (site web personnel) . Évalué à 5.
Même sans dns, mes sites coquinous ont des ips faciles à identifier, sont bourrés de technologies de tracking, troués comme leurs stars niveau sécurité et consomment une grosse bande passante pas bien dure à repérer.
La solution est de produire du contenu pour adulte libre et de le diffuser via Retroshare!
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: linuxfr.xxx
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 10.
Je ne suis pas d'accord avec l'approche défaitiste « de toute façon, c'est fichu, il y a plein de fuites partout » Le travail de l'IETF est justement de boucher toutes les failles identifiées. J'ai cité le DNS parce que c'est un sujet que je connais mais d'autres personnes à l'IETF travaillent sur le reste.
[^] # Re: linuxfr.xxx
Posté par octane . Évalué à 6.
Deux remarques:
Tout d'abord, il n'y a sans doute pas que des sites porno (dont la facilité d'identification peut faire débat) qui peuvent être ciblés par des personnes peu soucieuses de ta vie privée.
Ensuite, on peut assimiler cette amélioration à la défense en profondeur chère aux spécialistes en sécurité. On complique la vie des traqueurs c'est toujours ça de pris.
Le vrai débat, c'est:
[^] # Re: linuxfr.xxx
Posté par freem . Évalué à 2.
Pour ça, rien ne vaut le condom :) ça évite de laisser des traces derrière soi.
Ça colle…
Bon, ok, je sors
# Qui est au courant ?
Posté par pamputt . Évalué à 8.
Rapidement, est ce que quelqu'un pourrait me faire un cours accéléré pour m'expliquer qui d'autre que mon FAI (et éventuellement les services de renseignement) est au courant des sites que je visite.
[^] # Re: Qui est au courant ?
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 1.
Le mieux est de lire l'Internet-Draft qui devrait, normalement, servir de base au travail du nouveau groupe DPRIVE.
[^] # Re: Qui est au courant ?
Posté par arnaudus . Évalué à 5.
D'après ce que j'ai vaguement compris, il faut quand même aller chercher loin pour aller chercher des problèmes de vie privée avec les requêtes DNS. D'une part, il faut considérer qu'une requête DNS est privée (ça contient peu d'information, quand même, et surtout, ça n'est pas nominatif). D'autre part, les requêtes qui sortent du serveur de cache (voire du cache de Firefox) doivent être hyper-minoritaires—du coup, pas de quoi constituer une base de données exhaustive, loin de là. Enfin, je n'ai pas compris en quoi ça concernait les gens qui n'hébergent pas leur serveur DNS chez eux. En particulier, il est fait référence à ceux qui utilisent un serveur DNS qui n'est pas celui de leur FAI, mais du coup c'est normal que ce serveur reçoive des données, il faut forcément lui faire confiance.
Peut-être le problème vient-il de la définition de la vie privée sur Internet. L'utilisation d'internet impose l'envoi d'informations : je veux voir tel site, voici mon mot de passe, je veux envoyer un email à l'utilisateur machin sur le serveur truc, etc. Est ce que "je veux connaire l'IP du serveur connu comme www.google.com" est une donnée privée? C'est une donnée, OK, ça peut être utilisé de manière pas forcément réglo, OK, mais est-ce pour autant une donnée privée? On l'a volontairement transmise à un tiers, quand même.
[^] # Re: Qui est au courant ?
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 10.
Si cette analyse était exacte, l'IETF pourrait économiser pas mal de ressources humaines en laissant tomber tout le projet « DNS privacy ». Malheureusement, elle est fausse. « ça contient peu d'information » ? En effet, juste le fait que je m'intéresse au nom de domaine du Front National, de Daesh, des Alcooliques Anonymes, où tout autre domaine que je n'ai aucune raison de garder privé. Sans compter le client BitTorrent qui diffuse dans le DNS qu'il cherche son tracker. Certainement, on n'a aucune raison de cacher le fait qu'on utilise BitTorrent. « ça n'est pas nominatif » Si. Le nom demandé peut l'être (j'ai vu passer
pc-de-philippe.example.comdans tcpdump) et l'adresse IP source également (si on utilise un résolveur qui a peu de clients, voire un résolveur individuel).« les requêtes qui sortent du serveur de cache (voire du cache de Firefox) doivent être hyper-minoritaires » Pourquoi ne pas tester, plutôt que de supposer ? La seule page d'accueil de cnn.com déclenche l'envoi de 100 requêtes DNS (oui, 100). « pas de quoi constituer une base de données exhaustive, loin de là » Des tas de gens le font et constituent de telles bases. Ce n'est pas vraiment un secret, à chaque conférence sur les botnets, le malware ou le DNS (comme par exemple à l'OARC) il y a un exposé sur de telles collectes.
« je n'ai pas compris en quoi ça concernait les gens qui n'hébergent pas leur serveur DNS chez eux » Je suppose que cette phrase concerne le résolveur. Auquel cas, héberger le sien permet justement de diminuer l'information envoyée au résolveur du FAI. Et, même si on fait confiance au résolveur utilisé, on peut être inquiet des gens sur le trajet qui écoutent (le trafic DNS étant en clair, c'est trivial).
« je veux connaire l'IP du serveur connu comme www.google.com" est une donnée privée » Mauvais exemple (car tout le monde utilise Google, le « anonymity set » est donc très grand). Plutôt « je veux connaître l'adresse IP de www.npd.de »
[^] # Re: Qui est au courant ?
Posté par arnaudus . Évalué à -1.
Des gens qui écoutent le trafic entre toi et ton FAI? Je ne vois pas comment tu peux te prémunir contre ça. Autant tu peux chiffrer le contenu, mais je ne vois pas comment tu peux cacher qui tu es et ce que tu veux voir à ton FAI. C'est comme si tu voulais commander une pizza sans donner ton adresse…
[^] # Re: Qui est au courant ?
Posté par nanard . Évalué à 4.
T'es sérieux ? Tor, i2p et vpn ça te parle ou pas ?
Allez tous vous faire spéculer.
[^] # Re: Qui est au courant ?
Posté par Ellendhel (site web personnel) . Évalué à 4.
L'intérêt d'avoir une discussion à ce sujet au niveau de l'IETF c'est que si les choses font leur chemin, cela améliorerait sensiblement les choses pour les utilisateurs non avertis. Le lecteur moyen de LinuxFr peut en effet connaître Tor, VPN, … et utiliser ces techniques, mais pas forcément "M. Toutlemonde".
[^] # Re: Qui est au courant ?
Posté par Tonton Th (site web personnel, Mastodon) . Évalué à 3.
Oui, enfin, ça ne fait que déplacer le problème…
[^] # Re: Qui est au courant ?
Posté par Florent Fourcot . Évalué à 5.
Avec l'IP source, c'est très rapidement proche du nominatif. Sachant que les sites visités permettent (désolé, j'ai pas la référence rapide sous la main) d'identifier de manière très fiable de toute façon la personne, on a rapidement un soucis.
A priori le problème est surtout qu'avec le DNS tu envoies des informations à des gens qui n'ont rien à voir avec la communication. Le côté « transmission volontaire » me semble faux. Tu as voulu accéder à example.com, soit. Tu n'as pas forcément voulu que des extérieurs à l'ensemble (toi + example.com) puissent le savoir.
Sur le trafic DNS qui sort de ton navigateur, je t'invite à utiliser un analyseur réseau. On en émet bien plus qu'on ne pourrait le croire.
[^] # Re: Qui est au courant ?
Posté par arnaudus . Évalué à 2.
Certes, mais quelles infos sortent de la boucle de confiance toi + FAI? Ce qui sort du navigateur, c'est forcément très informatif sur ce que tu gladouilles sur Internet. Quelqu'un qui écoute entre moi et mon FAI sait exactement ce que je fais, à qui j'envoie des mails, quels sites je visite, etc. Le trafic DNS, c'est de la gnognotte si tu est avant le FAI.
[^] # Re: Qui est au courant ?
Posté par Parleur . Évalué à 3.
Mais c'est aussi une des informations qui reste la plus facilement accessible quand tu chiffres a peu pres tout ce que tu peux cote client.
[^] # Re: Qui est au courant ?
Posté par Anonyme . Évalué à 3.
Je comprends pas ta fixation sur le FAI. J’interroge jamais les DNS de mon FAI (à moins qu’ils fassent autorité pour certaines zones, mais j’en sais rien).
Il y a plein de serveurs qui connaissent le domaine pour lequel tu cherches un enregistrement : ton résolveur, la racine, les NS du TLD, les NS du domaine (et on continue si la requêtes concerne des sous domaines).
[^] # Re: Qui est au courant ?
Posté par arnaudus . Évalué à 3.
D'après justement le document "DNS privacy considerations", seul le résolveur connait ton adresse IP. Le reste du monde discute avec ton résolveur, ils ne peuvent pas remonter jusqu'à toi, à moins que tu héberges ton propre résolveur.
Je fais une fixation sur le FAI parce que c'est la configuration "naturelle" quand on parle de vie privée: tu es chez toi, derrière ta box configurée par défaut, et tu ne veux pas qu'un tiers sache ce que tu fais sur Internet. Cette situation semble assez peu risquée, puisque pas grand chose ne fuite vers l'extérieur, à moins que tu n'aies choisi volontairement d'interroger des résolveurs publics (mais là, il faut assumer).
Je ne prétends pas que le DNS ne pose aucun problème, mais je trouve ça finalement assez secondaire par rapport aux vrais problèmes de vie privée, notamment du fait du tracking permanent via des cookies ou Google Analytics. Comme il a été remarqué plus haut, toute visite de page web déclenche des dizaines de requêtes DNS, il n'y a aucun moyen de savoir s'il s'agit de sites dont tu as tapé le nom, un lien sur lequel tu as cliqué par inadvertance (comme par exemple le site de fesses dont le nom a été pris pour exemple dans cette discussion, que j'ai visité en m'attendant à un lien humouristique, alors que non), ou simplement une publicité qui s'est affichée sans ton consentement. Les DNS sont résolus par différents niveaux de cache, tu n'es donc jamais sûr de collecter un aperçu exhaustif de ce que les gens visitent. Et si tes résolveurs sont locaux ou chez ton FAI, tes requêtes ne sortent jamais avec des données nominatives.
Après, j'ai peut être complètement loupé la partie inquiétante, ou alors je ne visite que des sites qui ne posent problème à personne…
[^] # Re: Qui est au courant ?
Posté par Anonyme . Évalué à 2.
Stéphane a déjà répondu à ça dans les commentaires de ce journal. Traiter un problème précis ne veut pas dire qu'on ne traite pas les autres problèmes.
C'est vrai uniquement dans le cas où tu visites les mêmes sites que la majorité des clients de ton FAI.
Mais on parle de vie privée, tout le monde s'en fout de savoir que tu visites facebook.com ou google.fr.
[^] # Re: Qui est au courant ?
Posté par arnaudus . Évalué à 2.
Bah non, si on en croit le document, les requêtes du résolveur ont l'IP du résolveur comme source : le résolveur récupère la réponse, met à jour son cache, et te répond directement. Du coup, toutes les communications avec les autres serveurs DNS sont anonymisées, à moins que tu sois le seul client de ton FAI…
[^] # Re: Qui est au courant ?
Posté par Ellendhel (site web personnel) . Évalué à 4. Dernière modification le 21 octobre 2014 à 01:10.
Tout ce qui peut se balader en clair lorsqu'on utilise un hotspot dans un lieu public, un café,… ou même les postes en libre-accès dans une bibliothèque. Même si un opérateur de réseau local peut récupérer d'autres informations, il n'y a pas forcément de raison de "donner" le trafic DNS si on peut l'éviter.
[^] # Re: Qui est au courant ?
Posté par arnaudus . Évalué à 2.
Mouais, si l'attaquant a accès à tes requêtes HTTP, je ne vois pas tellement ce qu'il a à faire de tes requêtes DNS…
[^] # Re: Qui est au courant ?
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 6.
Si les gens de HTTP tenaient le même raisonnement, on n'améliorerait jamais la vie privée sur l'Internet… Heureusement, ils sont comme nous, ils règlent les problèmes de leur protocole (par exemple, dans HTTP 2, avec le chiffrement automatique, même quand l'URL n'était pas https) et les gens du DNS en font autant. Si chacun fait son boulot, les choses s'amélioreront. (Les gens de TLS sont au boulot, aussi, pour chercher une solution au problème de SNI qui envoit le nom du serveur en clair.)
[^] # Re: Qui est au courant ?
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 4.
Ne pas oublier aussi (ce point est marqué dans l'Internet-Draft) que les serveurs DNS ne sont pas forcément sur le chemin habituel. Quelqu'un qui visite le site Web du claoude souverain https://www.cloudwatt.com peut ne pas se rendre compte que ses requêtes DNS sortent de France et vont chez l'entreprise US Verisign.
# QNAME minimisation
Posté par moi1392 . Évalué à 4.
Je ne m'étais jamais resegné sur ce point, mais naïvement, j'ai toujours pensé que c'était comme cela que ça se passait !
Quelqu'un saurait pourquoi ça n'est pas le cas ? peut-être une histoire d'optimisation quelconque ?
[^] # Re: QNAME minimisation
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 9.
Ironiquement, les tutoriels « le DNS pour les nuls » (par exemple cette vidéo erronée) font en général la même erreur (ils sont faits par des gens qui ne connaissent pas le DNS). Par contre, Wikipédia est correct
Il y avait deux raisons à ce choix de transmettre la requête (le QNAME pour « query name ») entier. Il faut d'abord se rappeler qu'un client DNS ne sait pas forcément où est le « zone cut », la frontière de zone. Par exemple, rien dans la syntaxe n'indique si gouv.fr est dans la même zone (et donc les mêmes serveurs) que fr.
Autrefois, il était fréquent qu'un serveur héberge une zone parente et des zones filles (par exemple, certains serveurs de la racine étaient également serveurs de .com). Envoyer la requête entière économisait quelques aller-retours.
Trouver le « zone cut » n'est pas complètement trivial pour un résolveur DNS ordinaire. S'il fait du DNSSEC, tout le travail est déjà fait (un résolveur DNSSEC doit connaître les « zone cuts » pour savoir où envoyer la requête DS). Mais, lorsque les résolveurs DNSSEC n'existaient pas, ce code n'était pas toujours intégré.
Ces deux raisons ne sont plus valables (et la première depuis très longtemps), donc cela justifie de passer à la « QNAME minimisation ».
# Honolulu, Hawaï
Posté par Cyril Brulebois (site web personnel) . Évalué à 2.
Je trouve le choix du lieu pour discuter de vie privée… relativement savoureux. :)
Debian Consultant @ DEBAMAX
[^] # Re: Honolulu, Hawaï
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 2.
On ne l'a pas fait exprès :-) Les lieux des réunions IETF sont choisis très longtemps à l'avance.
Le vrai travail « vie privée » à l'IETF avait commencé à Vancouver.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.