Le 1er avril 2018, nous avons franchi un grand cap en matière de protection de la vie privée et de sécurité sur Internet avec le lancement du résolveur DNS public 1.1.1.1, le plus rapide des résolveurs DNS publics axés sur la vie privée d’Internet. Nous avons vraiment fait passer la vie privée avant toute chose. Nous n’étions pas satisfaits de la situation et pensions qu’une résolution DNS sécurisée accompagnée de pratiques de confidentialité transparentes devait constituer la nouvelle norme. Nous nous sommes donc engagés auprès des utilisateurs de notre résolveur public à ne pas conserver de données personnelles relatives aux requêtes adressées à notre résolveur 1.1.1.1. Nous avons également mis en place des solutions techniques facilitant l’utilisation du protocole DNS over HTTPS afin de sécuriser vos requêtes DNS. Nous n’avons jamais cherché à savoir ce que font les particuliers sur Internet, et nous avons donc mis en place des dispositifs techniques qui nous en empêchent.
Nous savions qu’il y aurait des sceptiques. De nombreux consommateurs pensent que s’ils ne paient pas pour un produit, c’est qu’ils sont le produit. Nous ne pensons pas que ce soit forcément vrai. Nous avons donc décidé de faire appel à un cabinet d’audit financier membre des Big 4 pour procéder à l’examen des dispositifs de protection de la vie privée de notre résolveur 1.1.1.1.
Aujourd’hui, nous sommes heureux d’annoncer que l’audit du résolveur 1.1.1.1 est achevé et qu’une copie du rapport du cabinet d’audit est disponible sur notre page dédiée à la conformité.
Le processus d’audit
Nous avons tiré un certain nombre de leçons et d’observations avec l’audit relatif au respect de la vie privée du résolveur 1.1.1.1. Tout d’abord, nous avons appris qu’il faut beaucoup plus de temps pour convenir des conditions d’examen lorsque l’on demande à un cabinet d’audit de procéder à ce que nous estimons être le premier audit de ce type sur des engagements de protection de la vie privée sur mesure pour un résolveur récursif.
Nous avons également constaté que le principe de protection de la vie privée dès la conception fonctionne. Cela ne fut pas une surprise pour nous : nous appliquons des principes de protection de la confidentialité dès la conception de tous nos produits et services. Étant donné que nous avons intégré les meilleures pratiques d’anonymisation dans le résolveur 1.1.1.1 lorsque nous l’avons conçu, nous avons pu démontrer que nous n’avions pas de données personnelles à revendre. Plus précisément, conformément à la demande d’engagement RFC 6235, nous avons décidé de tronquer les adresses IP client/source dans nos datacenters périphériques afin de ne jamais stocker de manière non volatile les adresses IP complètes des utilisateurs du résolveur 1.1.1.1.
Nous savions qu’une adresse IP tronquée nous suffirait pour comprendre les tendances générales sur Internet et la provenance du trafic. En outre, nous avons également amélioré notre dispositif de protection de la vie privée en remplaçant les adresses IP tronquées par des numéros de réseau (ASN) dans nos journaux internes. De surcroît, nous nous sommes engagés à ne conserver ces journaux anonymes que pendant une période limitée. Si la confidentialité était un pantalon, nous serions sa ceinture, ainsi que sa paire de bretelles et une ceinture supplémentaire.
Enfin, la comparaison entre notre audit du résolveur 1.1.1.1 et notre rapport SOC 2 a démontré de la manière la plus efficace qui soit que nos procédures de contrôle des modifications et nos journaux d’audit suffisaient à confirmer que notre système de troncage des adresses IP et la limite de conservation dans le temps des données étaient bien en place pendant la période d’audit. La période d’audit du résolveur 1.1.1.1, du 1er février 2019 au 31 octobre 2019, était la plus ancienne à laquelle nous pouvions remonter en nous basant sur notre rapport SOC 2.
Détails de l’audit
Lorsque nous avons lancé le résolveur 1.1.1.1, nous nous sommes engagés à ne pas surveiller ce que ses utilisateurs recherchaient en ligne. L’audit a confirmé que notre système est configuré pour correspondre à ce que nous pensons être le volet le plus important de cet engagement : nous ne consignons jamais les adresses IP envoyant des requêtes conjointement avec la requête DNS, et ne savons donc pas qui envoie une requête spécifique à l’aide du résolveur 1.1.1.1. Cela signifie que nous ne surveillons pas les sites que vous consultez individuellement et que nous ne revendrons jamais vos données personnelles.
Par souci de transparence totale, nous vous informons qu’au cours de l’audit, nous avons découvert que nos routeurs enregistrent de manière aléatoire jusqu’à 0,05 % de toutes les requêtes qu’ils voient passer, par exemple l’adresse IP des utilisateurs du résolveur. Nous le faisons indépendamment du service 1.1.1.1 pour tout le trafic transitant via notre réseau et nous conservons ces données pendant une durée limitée en vue de les utiliser pour résoudre des problèmes de réseau et d’atténuer les attaques par déni de service.
En effet, si une adresse IP spécifique transite un grand nombre de fois par l’un de nos datacenters, elle est souvent associée à des requêtes malveillantes ou à un botnet. Nous devons conserver ces informations pour atténuer les attaques contre notre réseau et pour empêcher que notre réseau ne soit utilisé lui-même comme un vecteur d’attaque. Ce sous-échantillon restreint de données est sans lien avec les requêtes DNS traitées par le service 1.1.1.1 et n’a aucun impact sur la vie privée des utilisateurs.
Nous tenons également à souligner que lorsque nous nous sommes engagés à respecter la vie privée dans le cadre du traitement des données de journal non identifiables personnellement pour les requêtes adressées au résolveur 1.1.1.1, nous n’avons pas su expliquer clairement comment nous allions utiliser ces journaux anonymes.
Nous avons par exemple compris que l’engagement que nous avions pris dans notre billet de blog au sujet de la conservation des journaux anonymes n’était pas écrit assez clairement et que nos précédents communiqués n’étaient pas aussi précis, car nous aurions pu mieux définir les différences entre les journaux temporaires, les journaux de transactions et les journaux permanents. Par exemple, notre FAQ sur la confidentialité du résolveur 1.1.1.1 indiquait que nous ne conserverions pas les journaux de transactions pendant plus de 24 heures, mais que certains journaux anonymes seraient conservés pour une durée indéterminée. Cependant, notre billet de blog annonçant la sortie du résolveur public ne faisait pas mention de cette distinction. Vous trouverez des explications plus précises sur la manière dont nous traitons les journaux anonymes sur notre page d’engagements en matière de protection de la vie privée mentionnée ci-dessous.
Nous avons donc actualisé et clarifié nos engagements en matière de protection de la vie privée pour le résolveur 1.1.1.1, comme indiqué ci-dessous. L’essence de ces engagements demeure inchangée : nous ne voulons pas savoir ce que vous faites sur Internet (cela ne nous regarde pas) et nous avons fait le nécessaire pour ne rien connaître de vos activités.
Nos engagements concernant le résolveur DNS public 1.1.1.1
Nous avons renforcé nos engagements en matière de protection de la vie privée lors de l’audit du résolveur 1.1.1.1. La nature et la finalité de nos engagements demeurent fidèles à ce qu’ils étaient à l’origine. Ce sont ces engagements actualisés qui ont été utilisés lors de l’audit :
- Cloudflare ne vendra ni ne partagera les données personnelles des utilisateurs du résolveur public avec des tiers, et n’utilisera pas les données personnelles du résolveur public pour envoyer de la publicité ciblée à un utilisateur.
- Cloudflare ne conservera ou n’utilisera que ce qui est demandé, et non des informations permettant d’identifier la personne qui le demande. À l’exception des paquets réseau échantillonnés de manière aléatoire, provenant d’au plus 0,05 % de tout le trafic envoyé à l’infrastructure réseau de Cloudflare, Cloudflare ne conservera pas l’adresse IP source des requêtes DNS adressées au résolveur public dans un dispositif de stockage non volatil (voir ci-dessous). Ces paquets échantillonnés au hasard servent uniquement au dépannage du réseau et à l’atténuation des attaques DoS.
- L’adresse IP d’un utilisateur d’un résolveur public (appelée adresse IP client ou source) ne sera pas stockée dans un dispositif de stockage non volatil. Cloudflare anonymisera les adresses IP sources par des méthodes de troncage d’adresses IP (le dernier octet pour le protocole IPv4 et les 80 derniers bits pour le protocole IPv6). Cloudflare supprimera l’adresse IP tronquée dans les 25 heures.
- Cloudflare ne conservera que des données de transaction et de débogage limitées (« Journaux du résolveur public ») pour les besoins légitimes de notre résolveur public et de nos recherches, et supprimera les journaux du résolveur public dans les 25 heures.
- Cloudflare ne partagera les journaux du résolveur public avec aucun tiers, à l’exception de l’APNIC en vertu d’un accord de coopération pour la recherche. L’APNIC ne disposera que d’un accès limité pour interroger les données anonymisées dans les journaux des résolveurs publics et pour mener des recherches sur le fonctionnement du système DNS.
La preuve de nos engagements en matière de protection de la vie privée
Nous avons créé le résolveur 1.1.1.1 parce que nous étions conscients de l’existence de sérieux problèmes de protection de la vie privée : les fournisseurs d’accès Internet, les réseaux Wi-Fi auxquels vous vous connectez, votre opérateur de téléphonie mobile et quiconque a une visibilité sur le réseau peuvent savoir quels sites vous consultez et quelles applications vous utilisez, même si le contenu est chiffré. Certains fournisseurs de DNS vendent même des données relatives à votre activité sur Internet ou les utilisent pour vous envoyer des publicités ciblées. Le DNS peut également être utilisé comme un outil de censure contre de nombreux groupes que nous protégeons grâce à notre projet Galileo.
Si vous utilisez DNS-over-HTTPS ou DNS-over-TLS pour notre résolveur 1.1.1.1, votre recherche DNS sera acheminée via un canal sécurisé. Cela signifie que si vous utilisez le résolveur 1.1.1.1, en plus de bénéficier de nos garanties en matière de confidentialité, aucun espion ne pourra voir vos requêtes DNS. Nous promettons que nous ne chercherons pas à savoir ce que vous faites.
Nous sommes convaincus que les fournisseurs de services doivent être en mesure de prouver à leurs clients qu’ils respectent réellement leurs engagements en matière de respect de la vie privée. Si nous avons pu demander à un cabinet d’audit indépendant de contrôler le respect de nos engagements en matière de confidentialité, nous estimons que d’autres entreprises peuvent faire de même. Nous invitons les autres fournisseurs à suivre notre exemple et à contribuer à améliorer la protection de la vie privée et la transparence pour les utilisateurs d’Internet du monde entier. De notre côté, nous continuerons à faire appel à des cabinets d’audit réputés pour contrôler notre respect des engagements pris en matière de protection de la vie privée pour le résolveur 1.1.1.1. Nous apprécions également le travail que Mozilla a entrepris pour encourager les organismes qui utilisent des résolveurs récursifs à traiter les données de manière à protéger la confidentialité des utilisateurs.
Vous trouverez de plus amples informations sur l’audit de la protection de la vie privée du résolveur ainsi que le rapport de notre comptable sur la page de conformité de Cloudflare.
Rendez-vous sur https://developers.cloudflare.com/1.1.1.1/ à partir de n’importe quel appareil pour commencer à utiliser le service DNS le plus rapide et le plus respectueux de la vie privée sur Internet.
P.S. : Nous serons demain le 1er avril, date à laquelle Cloudflare à l’habitude de sortir de nouveaux produits. Voici deux ans, nous avons lancé le 1.1.1.1, un résolveur DNS public gratuit, rapide et respectueux de la vie privée. L’an dernier nous avons lancé WARP, notre solution pour sécuriser et accélérer l’accès à Internet sur les appareils mobiles.
Et demain ?
Ensuite, trois changements majeurs
Un avant la trame, également
La sécurité jusqu’au bout