DNS over HTTPS (DoH) arrive dans les paramètres réseau de Windows 10 : comment ça marche ?

Mise à jour :DNS over HTTPS (DoH) arrive dans les paramètres réseau de Windows 10 : comment ça marche ?

L’article a été mis à jour avec les nouveautés introduites par la build 20185 de

Windows 10

.

Après les navigateurs, les OS ! Windows 10 sera-t-il le premier à supporter nativement DNS over HTTPS ? Cela semble bien être le cas puisque l’on peut désormais tester son intégration, passant désormais par les paramètres réseau.

DNS over HTTPS (DoH) est une nouvelle manière d’échanger avec un résolveur DNS. Très simple à mettre en œuvre et difficile à bloquer, il a l’avantage de passer par un flux chiffré. Des points forts qui expliquent sans doute son succès face à d’autres candidats visant le même objectif, comme DNS over TLS (DoT) par exemple.

Jusqu’à maintenant, son intégration était pratiquée au niveau des navigateurs. On peut en effet en profiter sous Firefox, mais aussi dans les versions de test de ceux dérivés de Chromium. Un choix qui pose problème puisque cela revient à accepter que chaque application dispose de ses propres paramètres pour les DNS, outrepassant les règles du système.

Notre dossier sur DNS over HTTPS :

Qu’est-ce que DNS over HTTPS (DoH), qu’est-ce que cela peut vous apporter ?

DNS over HTTPS (DoH) : au-delà de Firefox, une « question de confiance »

DNS over HTTPS : pour Stéphane Bortzmeyer, « le diable est dans les détails »

DNS over HTTPS (DoH) arrive dans

Windows 10

: comment ça marche ?

Comment activer DNS over HTTPS (DoH) ? (à venir)

Une situation qui peut être tolérée à court terme, mais qui ne doit pas durer. Si DNS over HTTPS est une évolution intéressante, son intégration doit plutôt se faire au niveau des routeurs, box de

FAI

et autres systèmes d’exploitation. Microsoft avait justement promis une évolution rapide de

Windows 10

sur ce point. Elle évolue dans sa phase de test.

DoH va intégrer les paramètres réseau

Bonne nouvelle, contrairement à ce qui se pratique en général sous Linux, vous n’aurez pas d’outil spécial tel que Stubby à installer pour profiter de DNS over HTTPS sous

Windows 10

. Pour autant Microsoft n’est pas franchement le premier à s’intéresser aux DNS chiffrés intégrés à un OS, puisqu’Android supporte DoT depuis sa version 9 (Pie) sortie en 2018.

Depuis la précédente build 19628, qui avait ouvert la phase de test, l’activation était possible mais nécessitait une procédure complexe. Ce n’est plus le cas avec la build 20185 qui vient d’être publiée. Elle est disponible via le programme Insider ou à télécharger manuellement. Nous avons opté pour cette seconde solution.

Rendez-vous ensuite dans la section Réseau/Wi-Fi des Paramètres (Windows + i). Vous verrez vos différentes connexions, avec la possibilité d’ouvrir leurs propriétés. Dans celles-ci, une section est désormais consacrée aux DNS. Par défaut, ils seront réglés de manière automatique, via le protocole DHCP (c’est le routeur qui les fournit au système).

Optez pour manuel, en IPv4 et/ou IPv6. Si vous indiquez une adresse IP connue pour supporter DNS over HTTPS, l’option de

chiffrement

sera débloquée. Vous pourrez alors demander à l’utiliser obligatoirement, le désactiver ou indiquer qu’il doit être utilisé en priorité, mais qu’il est possible d’opter pour du trafic DNS non chiffré en cas de problème.

Une fois activé, les DNS manuels apparaîtront dans les propriétés de la connexion, ainsi que le choix de

chiffrement

effectuéDNS over HTTPS (DoH) arrive dans les paramètres réseau de Windows 10 : comment ça marche ?

Trois sont reconnus pour le moment :

Cloudflare :

1.1.1.1

1.0.0.1

2606:4700:4700::1111

2606:4700:4700::1001

Google

8.8.8.8

8.8.4.4

2001:4860:4860::8888

2001:4860:4860::8844

Quad9

9.9.9.9

149.112.112.112

2620:fe::fe

2620:fe::fe:9

La façon de faire est maligne, mais on espère tout de même que l’on aura droit à une intégration plus ouverte dans la version définitive. Surtout que certains services DoH ne communiquent que leur URL et pas une adresse IP.

Ajoutez le serveur DoH de votre choix :

Il devrait être possible d’ajouter le résolveur de votre choix via cette commande PowerShell (Administrateur), mais selon nos essais, elle n’est pour le moment pas fonctionnelle.

netsh dns add encryption server=IP dohtemplate=URL

Vous pouvez vérifier l’URL du serveur DoH correspondant à l’IP de votre choix :

netsh dns show encryption server=IP

Vérifier que DoH est bien actif

Malheureusement, il n’est pas simple de vérifier que DoH est actif. Microsoft donne sa propre astuce, en utilisant l’analyseur de paquets intégré à

Windows 10

, accessible via PowerShell (ADministrateur). Il permet de visualiser les flux passant en clair via le port 53 (utilisé habituellement par les DNS). Si plus rien n’est visible, c’est que DoH est bien actif :

pktmon filter removepktmon filter add -p 53pktmon start –etw -m real-time

Selon nos premiers essais, cela fonctionne à quelques exceptions près. Par exemple si vous effectuez des requêtes via

nslookup

, cela continuera de passer par une requête DNS classique par exemple.

Leave a Reply

Your email address will not be published. Required fields are marked *