Mozilla a configuré le Bouclier canadien de CIRA comme programme Trusted Recursive Resolver (TRR) par défaut pour les utilisateurs canadiens de Firefox. Faire du chiffrement du DNS une option par défaut pour le navigateur représente pour l’entreprise une autre étape visant à honorer son engagement global envers la protection des renseignements personnels. Puisque le Bouclier canadien de CIRA prend en charge les traditionnels protocoles IPv4 et IPv6 en plus d’être conforme aux nouvelles normes de chiffrement du DNS, le choix était tout naturel.
Par défaut, Firefox utilise un DNS sur HTTPS, communément appelé par son acronyme « DoH » dans la communauté. Avant d’étudier son fonctionnement en détail, il est important de comprendre son rôle.
Qu’est-ce qu’un DNS?
Lorsque vous cliquez sur un lien ou entrez une adresse dans un navigateur, vous utilisez un lien (URL) compréhensible par les humains. Afin que cette adresse retrouve son chemin vers un serveur, elle doit être traduite en adresse IP compréhensible par une machine.
C’est ce que l’on appelle le système de noms de domaine (DNS). Il est souvent décrit comme étant l’annuaire téléphonique d’Internet. Pour la plupart des Canadiens, cette recherche est effectuée dans un serveur situé au site de leur fournisseur de service Internet, appelé un résolveur récursif. Plusieurs personnes travaillant dans le domaine des TI ou aimant s’amuser avec la technologie modifient ce réglage du DNS, soit dans le routeur, le système d’exploitation ou le navigateur. Cette modification peut être effectuée pour profiter d’une meilleure confidentialité ou performance ou encore simplement pour s’amuser. L’un des avantages incroyables du DNS est sa flexibilité : l’utilisateur a le choix.
Quel problème du DNS est à l’origine de la mise en place de ces nouvelles solutions?
L’une des caractéristiques du DNS est que tous les renseignements parcourent Internet sous forme de texte clair. Au départ, l’objectif d’Internet était d’offrir un milieu libre et ouvert où les notions de confidentialité entre deux « conversations » n’existaient pas. L’ancien Internet était bâti sur des principes utopiques, mais cette utopie est récemment devenue discutable. L’IETF a donc établi de nouvelles normes en matière de confidentialité du DNS, y compris le DoH.
Qu’est-ce que le DoH?
Le DoH est l’une de deux nouvelles méthodes permettant de chiffrer le trafic DNS (l’autre méthode est le DoT). Dans le cas présent, il s’agit du trafic entre votre navigateur et le résolveur (ou serveur) du DNS de CIRA. Nous résolvons ensuite la requête et vous donnons accès au site Web, au serveur de courriel, à l’application en ligne ou à la vidéo de chat que vous recherchiez.
Puisque le trafic est chiffré, les renseignements (ou les fichiers de zone) que nous échangeons ne peuvent pas être interceptés, inspectés, ni même modifiés (ce qui pourrait vous diriger vers une page que vous ne souhaitiez pas visiter).
Un DoH est un excellent ajout pour la sécurité et la confidentialité et, lorsque d’autres couches de protection y sont ajoutées, il constitue un net avantage pour les utilisateurs d’Internet au Canada. CIRA recommande l’utilisation du chiffrement du DNS pour un usage personnel et professionnel. Il représente une partie utile d’une solution de confidentialité globale.
Vous souhaitez en apprendre davantage? Nous avons écrit quelques articles à ce sujet. Pour en apprendre les bases, vous pouvez consulter notre blogue sur le chiffrement du DNS – évolution ou révolution.
Dans quel but Mozilla et Firefox utilisent-ils les produits de CIRA et un DoH?
Par défaut, Firefox utilise un DoH pour la résolution DNS; c’est le premier important navigateur à fonctionner ainsi. La bonne nouvelle est que, pour les utilisateurs qui indiquent (dans leurs réglages) qu’ils se trouvent au Canada, Firefox utilisera par défaut le Bouclier canadien de CIRA – Privé comme résolveur DNS. Ce niveau de service répond simplement aux requêtes sans filtrer les données (nous y reviendrons plus tard).
Pourquoi CIRA? D’abord, nous répondons aux exigences strictes du programme Trusted Recursive Resolver (TRR) de Mozilla grâce à notre engagement envers la sécurité, la protection des renseignements personnels et la transparence.
CIRA est un fournisseur à l’échelle nationale et le premier de sa catégorie au monde à offrir une sorte de résolution DoH souveraine. De plus, cette solution est conçue pour optimiser la qualité et la confidentialité d’Internet pour les Canadiens, mais elle est également disponible dans le monde entier pour les voyageurs. Nous sommes un organisme à but non lucratif pour lequel vos données ne présentent pas d’intérêt commercial, mais dont le véritable intérêt porte sur la protection de vos renseignements personnels et l’Internet ouvert. Nous avons mis en place les procédures appropriées pour assurer la protection de vos renseignements personnels et avons engagé un vérificateur pour tester ces systèmes. Finalement, nous offrons un service haute fiabilité de très grande qualité grâce à des nœuds situés près des Canadiens et bien jumelés aux divers réseaux qui constituent l’Internet au Canada et qui vous connectent au monde extérieur.
N’est-ce pas incroyable? Nous le pensons aussi, et nous avons eu vent de nombreuses rumeurs dans le monde de la gouvernance de l’Internet qui suggèrent que des modèles semblables commenceront à voir le jour ailleurs dans le monde. Toutefois, soyez assuré que pour les adeptes de DNS comme nous, le fait que CIRA soit un chef de file est une raison pour laquelle nous sommes fiers d’être Canadiens.
Que faire si je souhaite changer de résolveur?
Les réglages DNS de Firefox peuvent être configurés dans les paramètres. Il est possible d’activer les réglages DNS traditionnels et de modifier le fournisseur de DoH par défaut en fonction des préférences de l’utilisateur final. Firefox est offert avec certains fournisseurs de DoH que vous pouvez sélectionner. Vous pouvez également ajouter votre propre résolveur personnalisé.
Je croyais que le Bouclier canadien de CIRA permettait de détecter les logiciels malveillants grâce au filtrage. Pourquoi Firefox utilise-t-il par défaut une résolution DNS privée sans filtrage?
Il revient à chaque personne de décider si elle met en place tout type de filtrage de contenu, même si ce contenu constitue des logiciels malveillants, des sites d’hameçonnage et des réseaux zombies. Nous avons écrit un article expliquant que le filtrage des logiciels malveillants n’est pas de la censure. Même en sachant cela, si vous choisissez d’opter pour la sécurité, vous devriez savoir ce que cela implique.
Chaque personne choisit son pare-feu, son logiciel antivirus, son logiciel de filtrage des courriels ou son RPV, et ces solutions s’influencent mutuellement. De plus, chaque service de cybersécurité tire parti d’une technologie de blocage des menaces unique. En somme, chaque personne doit décider de la technologie qui lui convient et, même si nous aimerions qu’un DNS sécurisé devienne un réglage par défaut, il est peu probable qu’une entreprise de logiciels le fasse de sitôt.
Comment puis-je utiliser la version Protégé ou Famille du Bouclier canadien de CIRA?
Les utilisateurs qui souhaitent utiliser la version Protégé ou Famille du Bouclier canadien de CIRA peuvent facilement modifier le fournisseur de DoH par défaut.
Sélectionnez « Personnalisé » dans le champ du fournisseur, puis entrez les adresses mentionnées ci-dessous.
Pour l’option Protégé :
https://protected.canadianshield.www.cira.ca/dns-query – vous profiterez d’un service de blocage des menaces qui comprend une liste de menaces regroupant des millions de domaines malveillants, et plus de 100 000 nouveaux domaines y sont ajoutés chaque jour.
Pour l’option Famille :
Https://family.canadianshield.cira.ca/dns-query – vous profitez de tous les avantages de la version Protégé, en plus d’un blocage des publicités pour le contenu pornographique.
Pour consulter toutes les options de configuration, veuillez visiter le site suivant :
https://www.cira.ca/fr/cybersecurity-services/canadian-shield/configure
Je suis gestionnaire des TI en entreprise. Le chiffrement du DNS contourne-t-il les autres mesures de sécurité en place?
Mozilla a pris plusieurs importantes mesures pour s’assurer que l’utilisation de Firefox est sécuritaire pour les réseaux d’entreprise. Vous pouvez en apprendre davantage sur la façon de configurer et de gérer un DoH dans un environnement d’entreprise sur son site Web. En somme, il semblerait que le DNS sur HTTPS devienne une solution permanente alors que divers navigateurs et systèmes d’exploitation planifient des déploiements. Les craintes initiales de son impact sur les réseaux d’entreprise ont été légèrement exagérées, mais les services des TI d’expérience seront en mesure de les atténuer.
Conclusion
Le Bouclier canadien de CIRA est accessible par l’intermédiaire de son adresse DoH et représente une pièce importante du casse-tête de la protection des renseignements personnels pour les Canadiens, et CIRA est heureuse d’amorcer cette nouvelle étape de son déploiement. Ce nouveau projet remarquable s’ajoute à notre mandat à but non lucratif visant à bâtir un Internet de confiance.
Autres ressources
Le filtrage DNS n’est pas de la censure
Rob a acquis plus de 20 ans d’expérience de la rédaction, de la présentation et du blogage à l’intention de l’industrie des technologies. Il aborde des thèmes aussi variés que les outils de développement de logiciels, l’ingénierie inverse de Silicon, la cybersécurité et le DNS. De fait, Rob est un spécialiste du marketing passionné qui s’adresse aux professionnelles et aux professionnels des TI en leur donnant les renseignements et les précisions dont ils ont besoin pour s’acquitter de leurs tâches.
