Mozilla déploie Encrypted Client Hello pour chiffrer les adresses des sites visités

chiffrement
chiffrement

Mozilla a présenté, dans un billet dédié publié aujourd’hui, une nouvelle technologie présente dans Firefox depuis la dernière version 118. L’Encrypted Client Hello, ou ECH, permet d’ajouter une couche supplémentaire de protection de la vie privée à la navigation. Pour autant, ECH n’est pas réservé à Firefox. Explications.

En 2020, dans une série d’articles sur DNS-over-HTTPS (DOH), nous avions interviewé Stéphane Bortzmeyer. Pour l’ingénieur, « gérer des serveurs DNS permet beaucoup de choses, dont le pouvoir de suivre n’importe qui dans ses habitudes de navigation. C’est vous qui déterminez alors ce que va voir quelqu’un en tapant une adresse. C’est en grande partie le territoire des fournisseurs d’accès ».

Depuis, DOH a continué à faire progressivement son chemin, au point que pratiquement tous les navigateurs et systèmes d’exploitation le gèrent aujourd’hui. Et si l’on en reparle, c’est parce que le billet de Mozilla présente un nouveau mécanisme de protection qui en tire parti.

Encrypted Client, hello !

« La plupart des données partagées sur les sites web, telles que les mots de passe, les numéros de carte de crédit et les cookies, sont protégées par des protocoles cryptographiques tels que Transport Layer Security (TLS). ECH est une nouvelle extension de TLS qui protège également l’identité des sites web que nous visitons, comblant ainsi la lacune en matière de protection de la vie privée dans notre infrastructure de sécurité en ligne existante », explique Mozilla.

Ce qui intéresse la fondation, c’est le premier « Hello » échangé, et plus généralement toutes les informations qui ne concernent pas directement les communications entre le navigateur et un site. En premier lieu, l’adresse visitée.

Dans une connexion classique, le site visé a maintenant toutes les chances d’être en HTTPS. Tout le trafic sera donc chiffré et, normalement, protégé contre les regards extérieurs. En revanche, l’adresse du site n’est pas protégée. On pourrait comparer (grossièrement) aux conversations WhatsApp : le contenu des conversations et appels est chiffré, mais le service peut savoir à qui vous parlez, quand et combien de temps.

Source