Dans un article engagé publié aujourd’hui, Mozilla a apporté une nouvelle génération qui a été fournie dans Firefox depuis la dernière édition 118. Le client crypté Hello, ou ECH, ajoute une couche supplémentaire de protection de la vie privée à la navigation. Cependant, ECH est uniquement pour Firefox. Explanations.
En 2020, dans une série d’articles sur DNS-over-HTTPS (DOH), nous avons interviewé Stéphane Bortzmeyer. Pour l’ingénieur, « la gestion des serveurs DNS permet beaucoup de choses, ajoutant la force de suivre n’importe qui dans ses habitudes de navigation. Alors, que verra quelqu’un en tapant une adresse? C’est en grande partie le territoire des FAI. »
Depuis lors, DOH a lentement fait son chemin, au point que pratiquement tous les navigateurs et systèmes d’exploitation l’utilisent. Et si on en parle à nouveau, c’est parce que le post Mozilla introduit un nouveau mécanisme de couverture qui lui enlève son mérite.
« La plupart des connaissances partagées sur les sites Internet, telles que les mots de passe, les numéros de carte de crédit et les cookies, se font par le biais de protocoles cryptographiques tels que Transport Layer Security (TLS). ECH est une nouvelle extension TLS qui protège également l’identité des sites Internet que nous visitons. , cela comble le trou de confidentialité dans notre infrastructure de sécurité en ligne existante », explique Mozilla.
Ce qui intéresse la base, c’est le premier « Hello » échangé, et plus encore, toutes les données qui n’affectent pas directement la communication entre le navigateur et un site. Tout d’abord, la gestion de la visite.
Sur une ancienne connexion, le site cible a maintenant toutes les chances d’être sur HTTPS. Par conséquent, tout le trafic sera crypté et sera normalement visible de l’extérieur. D’autre part, l’adresse du site n’est pas Array, peut-être juste Ceci est (à peu près) comparé aux conversations WhatsApp : le contenu des conversations et des appels est crypté, mais le service peut savoir à qui vous parlez, quand et pendant combien de temps.
C’est ce que Encrypted Client Hello propose de faire : chiffrer également ces données. La génération est décrite comme une extension TLS, qui peut récupérer une clé publique du serveur DNS pour chiffrer l’appel du site visité, données qui ressemblent normalement à la « poignée de main » initiale.
Pour les sites, il n’y a pas de miracle : ils devront être compatibles ECH. Cependant, comme Mozilla l’annonce, c’est un populaire ouvert que tout le monde peut mettre en œuvre. Cloudflare annoncé le 29 septembre.
DNS-over-HTTPS est probablement presque maintenant, mais il n’est pas nécessairement utilisé. L’activation est manuelle et dépend des choix de l’utilisateur. Parce que pour l’utiliser, vous devez choisir le fournisseur de services. C’était l’un des troubles. Comme le notait Stéphane Bortzmeyer en 2020 : Firefox a introduit par défaut Cloudflare, une entreprise américaine donc soumise au Cloud Act.
Pour utiliser ECH, il sera nécessaire d’activer DOH, car il sert de base. Dans les options de Firefox, vous devez aller dans le segment « Confidentialité et sécurité » et choisir entre Protection améliorée ou maximale. La différence entre les deux est le « Rollback » de la protection améliorée : si le DNS sécurisé ne fonctionne pas, le navigateur reviendra à l’ancien DNS. Par défaut, Cloudflare est proposé, et Firefox vous permet de choisir entre NextDNS (également une société américaine) ou un serveur traditionnel. .
Dès que DNS sur HTTPS est activé via l’une des deux options, ECH est activé. Il n’y a rien de spécial à faire, il fonctionne automatiquement et est inséré dans DOH. Du moins quand ECH est là, parce que le lancement est aujourd’hui. Mozilla ne donne pas d’horaire.
Le développement de Encrypted Client Hello est en effet une initiative de Mozilla, mais comme elle le dit, la fondation a travaillé seule : « Mozilla développe cette nouvelle génération de confidentialité sur Internet depuis près d’une décennie, en collaboration avec d’autres navigateurs, fournisseurs d’infrastructure, chercheurs en éducation et organismes de critères tels que l’Internet Engineering Task Force (IETF). »
L’exemple de cette ouverture est qu’ECH prend en charge l’édition 117 de Chromium, comme vous pouvez le lire dans les notes de version de Chrome ou sur cette page d’état de la plate-forme Chrome.
Client crypté Hello est destiné à se propager rapidement, du moins du côté des visiteurs. Quant à l’autre partie de l’équation – les sites – nous allons devoir attendre et voir si la sauce fonctionne.
La rédaction vous livre cet article, l’abonnement finance les cadres de notre équipe de journalistes.
2000 – 2023 INpact MediaGroup – SARL de presse, membre du SPIIL. Numéro du CPPAP0326 Z 92244.
Marque. Tous droits réservés. Informations légales et contact