Qu’est-ce que le DNS ? Pré­sen­ta­tion du système de noms de domaine

Le système de noms de domaine fait partie in­té­grante de notre na­vi­ga­tion quo­ti­dienne sur le Web, sans même que l’on s’en rende compte. En effet, à l’aide du DNS, les noms de domaine que les uti­li­sa­teurs tapent dans le na­vi­ga­teur sont traduits en adresses IP qui per­met­tent à l’or­di­na­teur d’ouvrir la page demandée.

L’abré­via­tion DNS signifie « Domain Name System », soit système de noms de domaine en français. Le DNS permet de convertir les noms de domaine lisibles par l’homme en adresses IP de serveur. Dès que vous tapez un domaine que vous con­nais­sez, par exemple www.ionos.fr, dans votre na­vi­ga­teur, celui-ci recherche le nom de domaine sur dif­fé­rents serveurs DNS. La recherche commence gé­né­ra­le­ment par le serveur DNS du routeur. De là, une série d’autres serveurs DNS est re­cher­chée jusqu’à ce que le nom de domaine souhaité soit trouvé.

Une fois trouvé, votre na­vi­ga­teur trouvera l’adresse IP cor­res­pon­dante qui lui permettra d’établir une connexion avec le site Web souhaité. Le système de noms de domaine est donc né­ces­saire pour com­mu­ni­quer dans un réseau sans connaître les adresses IP res­pec­tives.

Le système de noms de domaine est également surnommé l’annuaire d’Internet. Cela fait di­rec­te­ment référence au fonc­tion­ne­ment du DNS, qui consiste à trouver des adresses IP cor­res­pon­dant à des noms de domaine donnés. Ce processus est appelé ré­so­lu­tion de noms DNS et peut être suivi pas à pas :

1. Vous saisissez une adresse Web quel­conque dans la ligne de recherche de votre na­vi­ga­teur.
2. La recherche est transmise à un résolveur DNS, qui est gé­né­ra­le­ment géré par votre four­nis­seur d’accès à Internet.
3. Le résolveur DNS transmet la recherche à un serveur DNS et est dirigé vers un autre serveur DNS.
4. Le résolveur DNS est redirigé vers dif­fé­rents serveurs DNS jusqu’à ce qu’il trouve le nom de l’adresse Web.
5. Le serveur final parcourt ses en­re­gis­tre­ments jusqu’à ce qu’il trouve l’adresse IP cor­res­pon­dante et la renvoie au résolveur DNS.
6. Le résolveur DNS fournit l’adresse IP au na­vi­ga­teur Web. Celui-ci appelle le site Web cor­res­pon­dant.

Divers com­po­sants tels que le résolveur DNS et dif­fé­rents serveurs de noms jouent donc un rôle dans la ré­so­lu­tion de noms. En résumé, le résolveur DNS est le programme qui contrôle le processus de ré­so­lu­tion de noms et qui obtient les in­for­ma­tions requises du système de noms de domaine. Pour vérifier si la ré­so­lu­tion de noms fonc­tionne cor­rec­te­ment, l’outil de ligne de commande nslookup peut s’avérer utile.

On peut dis­tin­guer dif­fé­rents serveurs de noms qui jouent un rôle dans la ré­so­lu­tion des noms :

• Serveurs racine DNS : les serveurs racines sont des serveurs de noms faisant autorité qui renvoient nor­ma­le­ment une liste d’autres serveurs de noms faisant autorité pour un domaine de premier niveau donné.
• Serveurs de noms TLD : le serveur TLD répond en fonction du domaine de premier niveau concerné. Si vous re­cher­chez www.ionos.fr, un serveur de noms TLD répondra pour l’extension de domaine .fr.
• Serveurs de noms faisant autorité : les serveurs de noms faisant autorité sont res­pon­sables d’une zone DNS, c’est-à-dire d’un domaine ou d’un sous-domaine in­di­vi­duel. Les in­for­ma­tions fournies par les serveurs de noms faisant autorité sont fiables. On distingue les DNS primaires et les DNS se­con­daires.
• Serveurs de noms récursifs : les serveurs de noms ne faisant pas autorité ob­tien­nent leurs in­for­ma­tions d’autres serveurs de noms faisant autorité.

Même si le DNS joue un rôle important dans le trafic quotidien du réseau, le système présente également des points faibles. L’un des plus grands problèmes du DNS sont ses failles de sécurité. Comme les serveurs DNS stockent les adresses IP ap­par­te­nant à un domaine de manière non chiffrée et les trans­met­tent en principe à quiconque les demande, ils cons­ti­tuent une cible idéale pour les cy­ber­cri­mi­nels.

Les uti­li­sa­teurs qui sou­hai­tent garder leur na­vi­ga­tion privée peuvent être con­fron­tés aux DNS Leaks. En cas de fuite DNS, une requête DNS est envoyée sans pro­tec­tion à un serveur de noms au lieu de passer par le VPN.

De plus, le DNS peut poser problème au regard d’un Internet libre et non censuré. Récemment, le ministère russe du Dé­ve­lop­pe­ment numérique a ainsi ordonné que tous les services Internet dis­po­nibles dans le pays passent par des serveurs DNS russes, bloquant ainsi les sites étrangers. Il est ainsi possible pour les gou­ver­ne­ments au­to­ri­taires de sur­veil­ler l’ensemble du trafic réseau. Une censure par le DNS est également en­vi­sa­geable si un domaine de premier niveau spé­ci­fique était bloqué, par exemple. Les four­nis­seurs d’accès à Internet peuvent également bloquer l’accès à certains sites Web afin de mettre en œuvre les di­rec­tives de censure de l’État.

Il existe une série d’ex­ten­sions DNS qui per­met­tent d’ajouter des fonctions au Domain Name System :

• DynDNS ou DDNS : le DynDNS (ou DNS dynamique) veille à mettre à jour ré­gu­liè­re­ment et au­to­ma­ti­que­ment les domaines dans le système de noms de domaine. Ainsi, dès qu’un or­di­na­teur change d’adresse IP, cette mo­di­fi­ca­tion est en­re­gis­trée dans l’en­re­gis­tre­ment DNS cor­res­pon­dant.
• Extended DNS : dif­fé­rentes ex­ten­sions de protocole du DNS ont été re­grou­pées en EDNS. Cette extension est notamment es­sen­tielle pour le transport de paquets UDP.
• DNSSEC : les DNSSEC cons­ti­tuent une extension en matière de sécurité. Les DNSSEC empêchent les pirates d’in­ter­ve­nir dans la ré­so­lu­tion de noms DNS. Pour ce faire, l’extension utilise un chif­fre­ment asy­mé­trique.

Un DNS obsolète ou mal entretenu peur re­pré­sen­ter un danger pour la sécurité du réseau. Une stratégie d’attaque populaire est le DNS Hijacking, soit le dé­tour­ne­ment de DNS. Dans ce cas, le serveur de noms est contrôlé par des pirates et vous êtes redirigé vers une page que vous ne vouliez pas visiter à l’origine. En com­bi­nai­son avec le pharming ou le phishing, les pirates tentent alors de saisir vos données sensibles. Il est également possible que les pages vers les­quelles vous avez été redirigé soient utilisées pour infecter votre or­di­na­teur avec des logiciels mal­veil­lants.

Le DNS Spoofing est également un risque réel. Ici, il n’y a pas de contrôle de l’ensemble du serveur de noms, mais une simple ma­ni­pu­la­tion de la ré­so­lu­tion du nom. Ainsi, vous n’obtenez pas l’adresse IP correcte : l’en­re­gis­tre­ment DNS a été modifié de manière à renvoyer une adresse IP contrôlée par les pirates. La page sur laquelle vous arrivez semble légitime à première vue. La seule chose qui lui manque est un cer­ti­fi­cat de sécurité.

Lors de la ré­so­lu­tion de noms, les dif­fé­rents types de requêtes DNS veillent à ce que les bonnes in­for­ma­tions soient demandées :

• Requête récursive : l’or­di­na­teur demande une adresse IP ou la con­fir­ma­tion que le serveur de noms ne connaît pas cette adresse IP.
• Requête itérative : les requêtes ité­ra­tives sont les plus fré­quentes. Dans ce cas, l’or­di­na­teur demande la meilleure réponse possible au serveur DNS. Si le serveur ne connaît pas l’adresse cor­res­pon­dante, il redirige la personne qui a fait la demande vers des serveurs de noms faisant autorité.

Les en­re­gis­tre­ments DNS sont des entrées im­por­tantes relatives à un serveur DNS. Ils indiquent à quelle adresse cible ap­par­tient un nom de domaine donné. On distingue dif­fé­rents types d’en­re­gis­tre­ments DNS :

• En­re­gis­tre­ments A : les en­re­gis­tre­ments A sont les plus répandus. Ils at­tri­buent une adresse IPv4 à un domaine et sont utilisés pour diriger un domaine vers un serveur Web.
• En­re­gis­tre­ments CNAME : ce type d’en­re­gis­tre­ment est utilisé pour attribuer un sous-domaine à un domaine parent.
• En­re­gis­tre­ments TXT : les en­re­gis­tre­ments TXT per­met­tent d’attribuer un texte quel­conque à un domaine.
• En­re­gis­tre­ments MX : les en­re­gis­tre­ments MX sont utilisés pour attribuer un domaine quel­conque à un service de mes­sa­ge­rie.