La version de Firefox 118 a introduit une importante amélioration de la sécurité appelée client chiffré Hello, ou Encrypted Client Hello en anglais, abrégé en ECH, et activée par défaut dans les versions 119 et ultérieures de Firefox. Lors de votre navigation sur le Web, vos données ont besoin d’être protégées des regards indiscrets. La plupart des communications internet utilisent un protocole de sécurité appelé en anglais Transport Layer Security (TLS) pour chiffrer vos informations et les garder en sécurité. Mais, il y a un hic. Cette protection débute après le message initial de salut (hello), aussi appelé « prise de contact » (handshake, littéralement « poignée de main »).
L’ECH remédie à cette vulnérabilité du protocole TLS. Lorsque vous utilisez l’ECH, votre message « hello » adressé à un site web est solidement chiffré. Seul le site web que vous consultez peut le déchiffrer, garantissant que votre message reste privé tout au long de son parcours. Pour simplifier, l’ECH agit en gardien qui rend plus difficile d’identifier les sites web que vous consultez, tout en protégeant mieux votre activité en ligne et votre vie privée.
Le fonctionnement de l’ECH repose sur le DNS via HTTPS (DoH) qui est utilisé pour récupérer la clé nécessaire au chiffrement. Ensemble, ils forment une barrière de protection de la vie privée encore plus solide, le DoH se concentre sur le chiffrement des requêtes DNS pour protéger la traduction des noms de sites web en adresses IP, tandis que l’ECH chiffre la communication initiale entre les appareils et les sites web afin d’améliorer la sécurité du processus d’établissement de la connexion.
Cette association permet de remédier aux faiblesses présentes lorsque ces technologies sont utilisées de manière isolée, garantissant ainsi une protection complète de la vie privée en ligne. Dans le droit fil de l’engagement de Mozilla en faveur de la confidentialité et de la sécurité dans Firefox, l’ECH est activé par défaut et utilisé quand il est disponible. Comme l’ECH utilise des enregistrements DNS récupérés par le biais du DoH, il vous faut veiller à activer le DoH. L’utilisation d’un protocole de transport DNS chiffré tel que DoH est vital pour garantir que le trafic de votre navigation ne fuite pas via le protocole DNS standard qui n’est, lui, pas chiffré.L’ECH procure un maximum d’avantages en termes de vie privée quand les enregistrements DNS sont récupérés grâce à un transport chiffré comme celui qu’offre le protocole DoH. C’est pourquoi nous recommandons d’activer le DoH dans Firefox.
Si vous utilisez un logiciel de contrôle parental ou si vous avez déployé Firefox dans un environnement d’entreprise, vous n’avez à apporter aucune modification à votre configuration. Firefox ne chiffre pas le trafic avec l’ECH si l’un quelconque des cas de [Configure networks to disable DNS over HTTPS|rejet du DoH]] est configuré. De même, si votre logiciel de contrôle familial ou le service informatique de votre entreprise a configuré Firefox pour qu’il utilise un proxy transparent, le chiffrement de l’ECH est aussi désactivé.La plupart des logiciels de contrôle parentaux et des solutions d’entreprise devraient fonctionner avec l’ECH sans aucune modification, en particulier, s’ils s’intègrent directement dans le navigateur par le biais d’une extension, filtrent les enregistrements DNS ou se comportent comme un proxy transparent. Le client chiffré Hello peut aussi être désactivé grâce aux stratégies d’entreprise ou si les paramètres du contrôle parental sont activés au niveau du système d’exploitation.
Quand vous êtes en ligne, votre fournisseur d’accès à Internet (FAI) peut rassembler des informations sur vos activités sur Internet, par l’usage de techniques invasives telle l’inspection profonde de paquets (en anglais Deep Packet Inspection). C’est là que l’ECH vient changer la donne. Il répond aux préoccupations de confidentialité en empêchant les FAI de collecter vos données de navigation et créer votre profil sans vous le demander afin de vendre ces informations. Avec l’ECH, vos données restent privées, compliquant la tâche des FAI qui fabriquent de tels profils.
En prime, la combinaison de l’ECH et de Mozilla VPN ajoute un niveau supplémentaire à la protection de votre vie privée en ligne. Le VPN fonctionne comme un tunnel sécurisé, il masque votre identité pendant que l’ECH s’assure que votre message « hello » initial reste caché aux dispositifs de surveillance des réseaux. Pour plus de précisions sur l’utilisation conjointe de Mozilla VPN et de l’ECH dans Firefox, consultez l’article Le client chiffré Hello (ECH) – questions courantes.