8. Considérations relatives à la vie privée (Privacy Considerations)
8.1. Sur le réseau (On the Wire)
Cette spécification permet de transmettre les requêtes et réponses DNS via HTTP chiffré [RFC2818]. Cela offre une protection contre les observateurs passifs qui tenteraient d'observer le contenu des requêtes et réponses DNS.
Cependant, le simple fait que la communication soit chiffrée ne signifie pas que la vie privée du client DoH est protégée. Par exemple, si un attaquant sait qu'un client DoH interroge généralement certains types de noms de domaine (par exemple, des sites pour adultes), l'attaquant peut déduire que le client visite probablement ces types de sites, même sans pouvoir voir le contenu spécifique des requêtes. De même, la taille de certaines requêtes DNS peut révéler des informations sur le nom de domaine interrogé.
DoH utilise HTTPS, qui utilise TLS. L'utilisation de TLS révèle généralement l'indication du nom du serveur (Server Name Indication, SNI). Cela signifie que même avec DoH, un observateur sur le réseau peut toujours déterminer avec quel serveur DoH le client communique. La section E.3.1 de [RFC8446] traite de ces considérations, y compris les interactions avec d'autres protocoles. Des mécanismes de chiffrement du SNI pourraient être disponibles à l'avenir, offrant une protection supplémentaire de la vie privée.
Les clients et serveurs DoH DOIVENT (MUST) prendre en charge TLS 1.3 [RFC8446] et PEUVENT (MAY) prendre en charge les versions antérieures de TLS.
Les serveurs DoH peuvent choisir d'identifier les clients DoH en exigeant une authentification TLS côté client. Dans ce cas, cela peut affecter la vie privée du client. Les serveurs peuvent également identifier les clients par d'autres moyens, tels que les cookies HTTP ou d'autres mécanismes d'authentification HTTP.
8.2. Sur le serveur (In the Server)
En exigeant l'utilisation de HTTPS et l'authentification de l'identité du serveur DNS, les clients DoH devraient être en mesure de mieux contrôler quelles entités ont le droit de voir leurs requêtes DNS par rapport au DNS traditionnel.
De plus, HTTPS lui-même fournit une authentification du serveur, ce qui aide à prévenir les attaques de falsification DNS (DNS spoofing). Cependant, cette protection n'est effective que si le client valide correctement le certificat TLS du serveur.
Les opérateurs de serveurs DoH doivent être conscients que l'exploitation d'un serveur DoH soulève des questions de vie privée. Les requêtes DNS peuvent révéler de nombreuses informations sur le comportement des utilisateurs. Les opérateurs de serveurs devraient établir des politiques de confidentialité appropriées et réfléchir à la manière dont ils traitent et stockent les données reçues.
Les serveurs DoH peuvent choisir d'enregistrer toutes les requêtes et réponses entrantes. Dans ce cas, les opérateurs de serveurs devraient établir et publier des politiques claires de conservation des données et de confidentialité. Les serveurs devraient également prendre des mesures appropriées pour protéger les données collectées contre tout accès non autorisé.
Les serveurs peuvent choisir de partager l'infrastructure avec des tiers (tels que des réseaux de distribution de contenu (CDN) ou des fournisseurs de services cloud). Dans ce cas, ces tiers peuvent également avoir accès aux données de requêtes DNS. Les opérateurs de serveurs devraient tenir compte des pratiques de confidentialité de ces tiers et divulguer ce partage dans leurs politiques de confidentialité.
Comme discuté dans [RFC7626], les problèmes de confidentialité DNS sont complexes. L'utilisation de DoH peut offrir une protection contre certains types d'attaques, mais elle ne résout pas tous les problèmes de confidentialité. En particulier, le serveur DoH lui-même peut voir toutes les requêtes DNS, ce qui signifie que les clients DoH doivent faire confiance au serveur DoH qu'ils choisissent. Les clients devraient choisir soigneusement les serveurs DoH qu'ils utilisent et devraient envisager d'utiliser des serveurs avec des politiques de confidentialité claires.
Certains serveurs DoH peuvent être situés dans une juridiction différente de celle du client DoH. Cela peut affecter la protection de la vie privée du client, car différentes juridictions peuvent avoir des lois de protection des données et des exigences d'application différentes. Les clients devraient être conscients de ces risques et choisir les serveurs DoH en conséquence.
DoH n'empêche pas les serveurs d'associer les informations de requêtes DNS à d'autres informations (telles que les cookies HTTP ou les adresses IP des clients). En fait, parce que DoH fonctionne sur les mêmes connexions que le trafic HTTPS ordinaire, il peut devenir plus facile d'associer les requêtes DNS aux activités de navigation Web. Cela pourrait renforcer plutôt que réduire les capacités de suivi des utilisateurs.
Les applications utilisant DoH devraient tenir compte de ces implications pour la vie privée et devraient fournir aux utilisateurs des informations claires sur la manière dont leurs données DNS sont utilisées. Dans certains cas, il peut être nécessaire d'utiliser plusieurs serveurs DoH ou de changer périodiquement de serveur DoH pour réduire les informations qu'un seul serveur peut collecter.
Enfin, il convient de noter que si DoH peut protéger les requêtes DNS des observations sur le chemin réseau, il ne peut pas protéger la destination finale du client contre l'observation. Une fois que le client se connecte à un serveur en utilisant l'adresse IP obtenue via une requête DoH, cette connexion peut toujours être visible pour les observateurs réseau (à moins que des protections supplémentaires telles qu'un VPN ou Tor ne soient également utilisées).