Le problème de la distribution des clés DNS : un frein réel pour les protocoles chiffrés

Vous avez déjà vécu cette frustration : un cadenas ultra-sécurisé, mais impossible à ouvrir parce que la clé reste introuvable. C’est exactement ce qui se passe aujourd’hui avec les protocoles DNS chiffrés.

DNS-over-HTTPS (DoH) et DNS-over-TLS (DoT) ont été créés pour protéger les requêtes DNS contre l’espionnage et la censure. Le principe est simple : chiffrer les lookups pour empêcher les FAI et les gouvernements de voir quels sites vous consultez.

Pourtant, ces protections restent fragiles tant qu’on ne résout pas un problème de base : comment distribuer les clés de chiffrement quand l’accès au réseau est contrôlé ?

Quand les censeurs bloquent les clés au lieu de casser le chiffrement

Au lieu d’attaquer le chiffrement lui-même, certains acteurs ont compris qu’il suffit de bloquer l’accès aux clés. Cette stratégie est visible depuis 2021 en Chine, où les utilisateurs signalent des coupures intermittentes sur les résolveurs DoH et DoT.

Le pare-feu chinois ne coupe plus tout à fait la connexion. Il applique une censure plus subtile :

• DNS classique : toujours empoisonné avec de fausses adresses IP.
• DoT (port 853) : bloqué systématiquement.
• DoH (port 443) : les requêtes sont autorisées quelques secondes, puis bloquées temporairement. Assez pour rendre le service inutilisable sans jamais le désactiver complètement.

Le résultat est le même : les utilisateurs abandonnent.

Un problème d’architecture

Le vrai défaut est plus profond. Les nouveaux protocoles comme Encrypted Client Hello (ECH) reposent sur la récupération de clés publiques via DNS. Mais si le DNS lui-même est contrôlé, ces clés deviennent inaccessibles avant même d’être utilisées.

On se retrouve coincé : pour chiffrer une requête DNS, il faut d’abord en faire une non chiffrée. C’est un cercle vicieux.

Ce que cela change pour les développeurs et les hébergeurs

Si vous gérez des domaines ou des infrastructures via NameOcean, cette réalité vous concerne directement. Trois hypothèses tombent :

1. Vos enregistrements DNS ne sont pas toujours accessibles partout.
2. Le chiffrement ne protège pas contre les blocages au niveau de la distribution des clés.
3. La censure n’a pas besoin d’être totale pour être efficace ; un ralentissement stratégique suffit.

Les pistes explorées aujourd’hui

Pour contourner ces blocages, plusieurs approches se développent :

• Décentraliser la distribution des clés via DNSSEC ou des systèmes blockchain.
• Obfusquer le trafic DoH pour qu’il ressemble à du HTTPS classique.
• Utiliser des réseaux anycast très distribués afin de compliquer le blocage ciblé.
• Intégrer la distribution des clés directement dans les applications, sans passer par le DNS.

Aucune de ces solutions n’est parfaite. Elles ajoutent toutes de la complexité ou un coût en performance.

La leçon à retenir

La protection de la vie privée ne peut pas ignorer la réalité du réseau. Quand on conçoit des services, il faut anticiper : comment un acteur qui contrôle les tuyaux pourrait-il empêcher l’accès à ces protections ? Et quelle parade mettre en place ?

Le problème de la distribution des clés DNS n’est pas résolu. Les réponses qui émergent seront probablement plus complexes, plus distribuées et demanderont une vigilance accrue de la part des utilisateurs et des opérateurs.