Introduction
L'accès aux services de résolution de noms de domaine (DNS) peut être un point de vulnérabilité en termes de confidentialité. Les requêtes DNS peuvent révéler des informations sensibles sur les activités en ligne d'un utilisateur. Pour répondre à ce défi, le protocole ODoH (Oblivious DNS over HTTPS) a été développé pour offrir une résolution DNS anonyme.
Contexte Technique
ODoH utilise l'encryption HPKE (RFC 9180) pour protéger les requêtes DNS. Le fonctionnement d'ODoH repose sur l'utilisation d'un relais qui voit l'adresse IP de l'utilisateur mais pas la requête, et d'un serveur cible qui voit la requête mais pas l'adresse IP. Cela permet de séparer l'identité de l'utilisateur de ses requêtes DNS.
Numa, un résolveur DNS, propose une implémentation d'ODoH avec un client, un relais et une déploiement public. Le relais est configuré pour fonctionner avec des serveurs cibles indépendants, garantissant ainsi la confidentialité des requêtes.
Analyse et Implications
ODoH offre une protection significative contre les attaques de corrélation et les fuites de données. Cependant, il est important de noter que le serveur cible peut toujours enregistrer les requêtes reçues. De plus, le trafic analysé sur de petits relais peut potentiellement révéler des informations sur les utilisateurs.
La distribution des clés publiques est actuellement centralisée, ce qui peut constituer un point de vulnérabilité. L'utilisation de clés publiques publiées par des tiers pourrait améliorer la sécurité.
Perspective
Le développement d'ODoH et de ses implémentations comme Numa marque une étape importante vers une résolution DNS plus sécurisée et plus respectueuse de la vie privée. Pour renforcer la confidentialité, il est essentiel d'augmenter la diversité des opérateurs de relais et de serveurs cibles, ainsi que de poursuivre les améliorations techniques pour protéger les utilisateurs.
