Journal Création du groupe de travail IETF sur « DNS et vie privée »

Posté par (page perso) . Licence CC by-sa
27
20
oct.
2014

L'IETF (l'organisme qui fait les normes techniques de l'Internet) vient de créer le groupe de travail DPRIVE (« DNS private exchange »), consacré au travail sur l'amélioration de la vie privée pour les utilisateurs du DNS (eh oui, chaque fois que vous vous connectez sur http://www.siteporno.fr/, des tas de gens sont au courant, pas uniquement la NSA et votre FAI).

La charte du groupe de travail, avec les échéances, est en ligne.

Le groupe n'a pas encore de documents mais il est en plein « call for adoption » de son premier Internet-Draft (qui semble faire consensus), la description du problème. Pour les solutions (probablement du chiffrement de la communication DNS), il faudra attendre un petit peu.

Le groupe aura sa première rencontre physique à Honolulu en novembre. Mais, comme tous les groupes de travail IETF, le travail officiel est fait sur la liste de diffusion publique. Engagez-vous, rengagez-vous.

À noter qu'une partie du travail est faite dans un autre groupe, DNSOP, pour de subtiles raisons internes à l'IETF. C'est DNSOP qui travaillera sur une technique non-cryptographique, la « QNAME minimisation » (envoyer la requête "fr" à la racine et pas l'entier "www.siteporno.fr").

  • # linuxfr.xxx

    Posté par (page perso) . Évalué à 5.

    Même sans dns, mes sites coquinous ont des ips faciles à identifier, sont bourrés de technologies de tracking, troués comme leurs stars niveau sécurité et consomment une grosse bande passante pas bien dure à repérer.

    La solution est de produire du contenu pour adulte libre et de le diffuser via Retroshare!

    http://devnewton.bci.im

    • [^] # Re: linuxfr.xxx

      Posté par (page perso) . Évalué à 10.

      Je ne suis pas d'accord avec l'approche défaitiste « de toute façon, c'est fichu, il y a plein de fuites partout » Le travail de l'IETF est justement de boucher toutes les failles identifiées. J'ai cité le DNS parce que c'est un sujet que je connais mais d'autres personnes à l'IETF travaillent sur le reste.

    • [^] # Re: linuxfr.xxx

      Posté par . Évalué à 6.

      Deux remarques:
      Tout d'abord, il n'y a sans doute pas que des sites porno (dont la facilité d'identification peut faire débat) qui peuvent être ciblés par des personnes peu soucieuses de ta vie privée.
      Ensuite, on peut assimiler cette amélioration à la défense en profondeur chère aux spécialistes en sécurité. On complique la vie des traqueurs c'est toujours ça de pris.

      Le vrai débat, c'est:

      • est ce que cela sera transparent, facile d'accès, facile à implémenter et à débugger en cas de problème (sinon les admins le dégage)
      • est ce que cette barrière de défense de la vie privée amène réellement un plus?
      • [^] # Re: linuxfr.xxx

        Posté par . Évalué à 2.

        il n'y a sans doute pas que des sites porno […] à la défense en profondeur

        Pour ça, rien ne vaut le condom :) ça évite de laisser des traces derrière soi.

        est ce que cela sera transparent, facile d'accès

        Ça colle…

        Bon, ok, je sors

  • # Qui est au courant ?

    Posté par . Évalué à 8.

    chaque fois que vous vous connectez sur http://www.siteporno.fr/, des tas de gens sont au courant, pas uniquement la NSA et votre FAI

    Rapidement, est ce que quelqu'un pourrait me faire un cours accéléré pour m'expliquer qui d'autre que mon FAI (et éventuellement les services de renseignement) est au courant des sites que je visite.

    • [^] # Re: Qui est au courant ?

      Posté par (page perso) . Évalué à 1.

      Le mieux est de lire l'Internet-Draft qui devrait, normalement, servir de base au travail du nouveau groupe DPRIVE.

      • [^] # Re: Qui est au courant ?

        Posté par . Évalué à 5.

        D'après ce que j'ai vaguement compris, il faut quand même aller chercher loin pour aller chercher des problèmes de vie privée avec les requêtes DNS. D'une part, il faut considérer qu'une requête DNS est privée (ça contient peu d'information, quand même, et surtout, ça n'est pas nominatif). D'autre part, les requêtes qui sortent du serveur de cache (voire du cache de Firefox) doivent être hyper-minoritaires—du coup, pas de quoi constituer une base de données exhaustive, loin de là. Enfin, je n'ai pas compris en quoi ça concernait les gens qui n'hébergent pas leur serveur DNS chez eux. En particulier, il est fait référence à ceux qui utilisent un serveur DNS qui n'est pas celui de leur FAI, mais du coup c'est normal que ce serveur reçoive des données, il faut forcément lui faire confiance.

        Peut-être le problème vient-il de la définition de la vie privée sur Internet. L'utilisation d'internet impose l'envoi d'informations : je veux voir tel site, voici mon mot de passe, je veux envoyer un email à l'utilisateur machin sur le serveur truc, etc. Est ce que "je veux connaire l'IP du serveur connu comme www.google.com" est une donnée privée? C'est une donnée, OK, ça peut être utilisé de manière pas forcément réglo, OK, mais est-ce pour autant une donnée privée? On l'a volontairement transmise à un tiers, quand même.

        • [^] # Re: Qui est au courant ?

          Posté par (page perso) . Évalué à 10.

          Si cette analyse était exacte, l'IETF pourrait économiser pas mal de ressources humaines en laissant tomber tout le projet « DNS privacy ». Malheureusement, elle est fausse. « ça contient peu d'information » ? En effet, juste le fait que je m'intéresse au nom de domaine du Front National, de Daesh, des Alcooliques Anonymes, où tout autre domaine que je n'ai aucune raison de garder privé. Sans compter le client BitTorrent qui diffuse dans le DNS qu'il cherche son tracker. Certainement, on n'a aucune raison de cacher le fait qu'on utilise BitTorrent. « ça n'est pas nominatif » Si. Le nom demandé peut l'être (j'ai vu passer pc-de-philippe.example.com dans tcpdump) et l'adresse IP source également (si on utilise un résolveur qui a peu de clients, voire un résolveur individuel).

          « les requêtes qui sortent du serveur de cache (voire du cache de Firefox) doivent être hyper-minoritaires » Pourquoi ne pas tester, plutôt que de supposer ? La seule page d'accueil de cnn.com déclenche l'envoi de 100 requêtes DNS (oui, 100). « pas de quoi constituer une base de données exhaustive, loin de là » Des tas de gens le font et constituent de telles bases. Ce n'est pas vraiment un secret, à chaque conférence sur les botnets, le malware ou le DNS (comme par exemple à l'OARC) il y a un exposé sur de telles collectes.

          « je n'ai pas compris en quoi ça concernait les gens qui n'hébergent pas leur serveur DNS chez eux » Je suppose que cette phrase concerne le résolveur. Auquel cas, héberger le sien permet justement de diminuer l'information envoyée au résolveur du FAI. Et, même si on fait confiance au résolveur utilisé, on peut être inquiet des gens sur le trajet qui écoutent (le trafic DNS étant en clair, c'est trivial).

          « je veux connaire l'IP du serveur connu comme www.google.com" est une donnée privée » Mauvais exemple (car tout le monde utilise Google, le « anonymity set » est donc très grand). Plutôt « je veux connaître l'adresse IP de www.npd.de »

          • [^] # Re: Qui est au courant ?

            Posté par . Évalué à -1.

            Et, même si on fait confiance au résolveur utilisé, on peut être inquiet des gens sur le trajet qui écoutent (le trafic DNS étant en clair, c'est trivial).

            Des gens qui écoutent le trafic entre toi et ton FAI? Je ne vois pas comment tu peux te prémunir contre ça. Autant tu peux chiffrer le contenu, mais je ne vois pas comment tu peux cacher qui tu es et ce que tu veux voir à ton FAI. C'est comme si tu voulais commander une pizza sans donner ton adresse…

            • [^] # Re: Qui est au courant ?

              Posté par . Évalué à 4.

              Des gens qui écoutent le trafic entre toi et ton FAI? Je ne vois pas comment tu peux te prémunir contre ça. Autant tu peux chiffrer le contenu, mais je ne vois pas comment tu peux cacher qui tu es et ce que tu veux voir à ton FAI. 
              

              T'es sérieux ? Tor, i2p et vpn ça te parle ou pas ?

              Allez tous vous faire spéculer.

              • [^] # Re: Qui est au courant ?

                Posté par (page perso) . Évalué à 4.

                L'intérêt d'avoir une discussion à ce sujet au niveau de l'IETF c'est que si les choses font leur chemin, cela améliorerait sensiblement les choses pour les utilisateurs non avertis. Le lecteur moyen de LinuxFr peut en effet connaître Tor, VPN, … et utiliser ces techniques, mais pas forcément "M. Toutlemonde".

              • [^] # Re: Qui est au courant ?

                Posté par (page perso) . Évalué à 3.

                Tor, i2p et vpn ça te parle

                Oui, enfin, ça ne fait que déplacer le problème…

                * Ils vendront Usenet^W les boites noires quand on aura fini de les remplir.

        • [^] # Re: Qui est au courant ?

          Posté par . Évalué à 5.

          il faut considérer qu'une requête DNS est privée (ça contient peu d'information, quand même, et surtout, ça n'est pas nominatif)

          Avec l'IP source, c'est très rapidement proche du nominatif. Sachant que les sites visités permettent (désolé, j'ai pas la référence rapide sous la main) d'identifier de manière très fiable de toute façon la personne, on a rapidement un soucis.

          L'utilisation d'internet impose l'envoi d'informations : je veux voir tel site, voici mon mot de passe, je veux envoyer un email à l'utilisateur machin sur le serveur truc, etc. […] On l'a volontairement transmise à un tiers, quand même.

          A priori le problème est surtout qu'avec le DNS tu envoies des informations à des gens qui n'ont rien à voir avec la communication. Le côté « transmission volontaire » me semble faux. Tu as voulu accéder à example.com, soit. Tu n'as pas forcément voulu que des extérieurs à l'ensemble (toi + example.com) puissent le savoir.

          Sur le trafic DNS qui sort de ton navigateur, je t'invite à utiliser un analyseur réseau. On en émet bien plus qu'on ne pourrait le croire.

          • [^] # Re: Qui est au courant ?

            Posté par . Évalué à 2.

            On en émet bien plus qu'on ne pourrait le croire.

            Certes, mais quelles infos sortent de la boucle de confiance toi + FAI? Ce qui sort du navigateur, c'est forcément très informatif sur ce que tu gladouilles sur Internet. Quelqu'un qui écoute entre moi et mon FAI sait exactement ce que je fais, à qui j'envoie des mails, quels sites je visite, etc. Le trafic DNS, c'est de la gnognotte si tu est avant le FAI.

            • [^] # Re: Qui est au courant ?

              Posté par . Évalué à 3.

              Mais c'est aussi une des informations qui reste la plus facilement accessible quand tu chiffres a peu pres tout ce que tu peux cote client.

            • [^] # Re: Qui est au courant ?

              Posté par (page perso) . Évalué à 3.

              quelles infos sortent de la boucle de confiance toi + FAI?

              Je comprends pas ta fixation sur le FAI. J’interroge jamais les DNS de mon FAI (à moins qu’ils fassent autorité pour certaines zones, mais j’en sais rien).

              Il y a plein de serveurs qui connaissent le domaine pour lequel tu cherches un enregistrement : ton résolveur, la racine, les NS du TLD, les NS du domaine (et on continue si la requêtes concerne des sous domaines).

              • [^] # Re: Qui est au courant ?

                Posté par . Évalué à 3.

                D'après justement le document "DNS privacy considerations", seul le résolveur connait ton adresse IP. Le reste du monde discute avec ton résolveur, ils ne peuvent pas remonter jusqu'à toi, à moins que tu héberges ton propre résolveur.

                Je fais une fixation sur le FAI parce que c'est la configuration "naturelle" quand on parle de vie privée: tu es chez toi, derrière ta box configurée par défaut, et tu ne veux pas qu'un tiers sache ce que tu fais sur Internet. Cette situation semble assez peu risquée, puisque pas grand chose ne fuite vers l'extérieur, à moins que tu n'aies choisi volontairement d'interroger des résolveurs publics (mais là, il faut assumer).

                Je ne prétends pas que le DNS ne pose aucun problème, mais je trouve ça finalement assez secondaire par rapport aux vrais problèmes de vie privée, notamment du fait du tracking permanent via des cookies ou Google Analytics. Comme il a été remarqué plus haut, toute visite de page web déclenche des dizaines de requêtes DNS, il n'y a aucun moyen de savoir s'il s'agit de sites dont tu as tapé le nom, un lien sur lequel tu as cliqué par inadvertance (comme par exemple le site de fesses dont le nom a été pris pour exemple dans cette discussion, que j'ai visité en m'attendant à un lien humouristique, alors que non), ou simplement une publicité qui s'est affichée sans ton consentement. Les DNS sont résolus par différents niveaux de cache, tu n'es donc jamais sûr de collecter un aperçu exhaustif de ce que les gens visitent. Et si tes résolveurs sont locaux ou chez ton FAI, tes requêtes ne sortent jamais avec des données nominatives.

                Après, j'ai peut être complètement loupé la partie inquiétante, ou alors je ne visite que des sites qui ne posent problème à personne…

                • [^] # Re: Qui est au courant ?

                  Posté par (page perso) . Évalué à 2.

                  Stéphane a déjà répondu à ça dans les commentaires de ce journal. Traiter un problème précis ne veut pas dire qu'on ne traite pas les autres problèmes.

                  Et si tes résolveurs sont locaux ou chez ton FAI, tes requêtes ne sortent jamais avec des données nominatives.

                  C'est vrai uniquement dans le cas où tu visites les mêmes sites que la majorité des clients de ton FAI.

                  Mais on parle de vie privée, tout le monde s'en fout de savoir que tu visites facebook.com ou google.fr.

                  • [^] # Re: Qui est au courant ?

                    Posté par . Évalué à 2.

                    C'est vrai uniquement dans le cas où tu visites les mêmes sites que la majorité des clients de ton FAI.

                    Bah non, si on en croit le document, les requêtes du résolveur ont l'IP du résolveur comme source : le résolveur récupère la réponse, met à jour son cache, et te répond directement. Du coup, toutes les communications avec les autres serveurs DNS sont anonymisées, à moins que tu sois le seul client de ton FAI…

            • [^] # Re: Qui est au courant ?

              Posté par (page perso) . Évalué à 4. Dernière modification le 21/10/14 à 01:10.

              Certes, mais quelles infos sortent de la boucle de confiance toi + FAI?

              Tout ce qui peut se balader en clair lorsqu'on utilise un hotspot dans un lieu public, un café,… ou même les postes en libre-accès dans une bibliothèque. Même si un opérateur de réseau local peut récupérer d'autres informations, il n'y a pas forcément de raison de "donner" le trafic DNS si on peut l'éviter.

              • [^] # Re: Qui est au courant ?

                Posté par . Évalué à 2.

                Mouais, si l'attaquant a accès à tes requêtes HTTP, je ne vois pas tellement ce qu'il a à faire de tes requêtes DNS…

                • [^] # Re: Qui est au courant ?

                  Posté par (page perso) . Évalué à 6.

                  Si les gens de HTTP tenaient le même raisonnement, on n'améliorerait jamais la vie privée sur l'Internet… Heureusement, ils sont comme nous, ils règlent les problèmes de leur protocole (par exemple, dans HTTP 2, avec le chiffrement automatique, même quand l'URL n'était pas https) et les gens du DNS en font autant. Si chacun fait son boulot, les choses s'amélioreront. (Les gens de TLS sont au boulot, aussi, pour chercher une solution au problème de SNI qui envoit le nom du serveur en clair.)

            • [^] # Re: Qui est au courant ?

              Posté par (page perso) . Évalué à 4.

              Ne pas oublier aussi (ce point est marqué dans l'Internet-Draft) que les serveurs DNS ne sont pas forcément sur le chemin habituel. Quelqu'un qui visite le site Web du claoude souverain https://www.cloudwatt.com peut ne pas se rendre compte que ses requêtes DNS sortent de France et vont chez l'entreprise US Verisign.

  • # QNAME minimisation

    Posté par . Évalué à 4.

    envoyer la requête "fr" à la racine et pas l'entier "www.siteporno.fr"

    Je ne m'étais jamais resegné sur ce point, mais naïvement, j'ai toujours pensé que c'était comme cela que ça se passait !
    Quelqu'un saurait pourquoi ça n'est pas le cas ? peut-être une histoire d'optimisation quelconque ?

    • [^] # Re: QNAME minimisation

      Posté par (page perso) . Évalué à 9.

      Ironiquement, les tutoriels « le DNS pour les nuls » (par exemple cette vidéo erronée) font en général la même erreur (ils sont faits par des gens qui ne connaissent pas le DNS). Par contre, Wikipédia est correct

      Il y avait deux raisons à ce choix de transmettre la requête (le QNAME pour « query name ») entier. Il faut d'abord se rappeler qu'un client DNS ne sait pas forcément où est le « zone cut », la frontière de zone. Par exemple, rien dans la syntaxe n'indique si gouv.fr est dans la même zone (et donc les mêmes serveurs) que fr.

      1. Autrefois, il était fréquent qu'un serveur héberge une zone parente et des zones filles (par exemple, certains serveurs de la racine étaient également serveurs de .com). Envoyer la requête entière économisait quelques aller-retours.

      2. Trouver le « zone cut » n'est pas complètement trivial pour un résolveur DNS ordinaire. S'il fait du DNSSEC, tout le travail est déjà fait (un résolveur DNSSEC doit connaître les « zone cuts » pour savoir où envoyer la requête DS). Mais, lorsque les résolveurs DNSSEC n'existaient pas, ce code n'était pas toujours intégré.

      Ces deux raisons ne sont plus valables (et la première depuis très longtemps), donc cela justifie de passer à la « QNAME minimisation ».

  • # Honolulu, Hawaï

    Posté par (page perso) . Évalué à 2.

    Je trouve le choix du lieu pour discuter de vie privée… relativement savoureux. :)

    Debian Consultant @ DEBAMAX

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.