Le DNS over TLS : le meilleur protocole de sécurité

Le Domain Name System (DNS) nous permet de naviguer sur Internet sans problème. Sans ce système, nous serions obligés de saisir à chaque fois une adresse IP dans notre na­vi­ga­teur afin de pouvoir accéder à un site Web. Grâce au DNS, il suffit de mémoriser des URL simples. Mais cette situation con­for­table n’a fonc­tionné jusqu’à présent qu’au détriment de la sécurité. Grâce au DNS over TLS (DoT), on peut désormais limiter con­si­dé­ra­ble­ment les risques liés à la na­vi­ga­tion sur Internet. Comment fonc­tionne cette tech­no­lo­gie ?

Le système de noms de domaines est certes pratique, mais il a été imaginé à une époque où Internet était beaucoup moins développé et où les questions de sécurité avaient nettement moins d’im­por­tance qu’aujourd’hui. Le DNS fonc­tionne de la manière suivante : chaque client (par exemple le PC du domicile) adresse une requête à un serveur de noms afin de connaître l’adresse IP exacte cor­res­pon­dant au nom de domaine saisi. Si la saisie n’est plus dans le cache du na­vi­ga­teur, du PC ou du routeur, il faut établir une connexion par Internet. La connexion entre un client et un serveur DNS peut donner lieu à des attaques, puisque la com­mu­ni­ca­tion dans le DNS s’effectue la plupart du temps sans aucun chif­fre­ment.

Il est par con­sé­quent très facile pour les cy­ber­cri­mi­nels de lire ou de falsifier les in­for­ma­tions échangées entre les parties con­cer­nées. Les requêtes sont in­ter­cep­tées et des réponses erronées sont renvoyées. Cette technique est connue sous le nom de DNS Hijacking. Voilà comment les uti­li­sa­teurs se re­trou­vent sur des pages aux­quelles ils n’auraient jamais dû accéder. Dans le meilleur des cas, ils ne seront im­por­tu­nés que par de la publicité à outrance. Dans le pire des cas, vous pouvez infecter votre or­di­na­teur avec un logiciel mal­veil­lant ou être la victime d’une attaque de phishing. Cela permet à l’attaquant de collecter des données ex­trê­me­ment sensibles.

Les gou­ver­ne­ments et les four­nis­seurs d’accès Internet ex­ploi­tent également les fai­blesses du DNS et diffusent davantage de publicité ou bloquent certains sites Web, que ce soit pour faire appliquer certaines lé­gis­la­tions locales sur Internet ou pour censurer toute opinion dis­si­dente. Une connexion chiffrée avec le DoT peut s’avérer utile afin de lutter aussi bien contre les activités cri­mi­nelles que contre des dé­tour­ne­ments légaux.

Le protocole de Transport Layer Security (TLS) fonc­tionne avec la couche su­pé­rieure de la pile de pro­to­coles TCP/IP et fait ainsi partie in­té­grante d’Internet et de nombreux autres réseaux. On reconnaît fa­ci­le­ment ce protocole dans le cadre du HTTPS. Le TLS permet aujourd’hui de sécuriser les trans­mis­sions du client vers le serveur Web. À l’avenir, le TLS assurera également la sécurité des com­mu­ni­ca­tions sur le DNS.

Avec le DNS over TLS, l’échange de données passe par un tunnel chiffrer. Seules les deux parties con­cer­nées par cette com­mu­ni­ca­tion peuvent dé­chif­frer et traiter les données. Une man-in-the-middle-attack (« attaque de l’homme du milieu ») est par con­sé­quent inutile car l’attaquant ne pourra pas exploiter les données. Pour cela, le transport s’effectue via de simples con­nexions TCP et le port standard 853. Le DoT dispose ainsi de son propre port, uni­que­ment destiné à l’échange d’in­for­ma­tions de domaine.

Il faut néanmoins que cette tech­no­lo­gie soit prise en charge à la fois par le serveur et par le client. Il existe désormais plusieurs pres­ta­taires sur Internet qui proposent des serveurs DNS. Vous devrez néanmoins mettre votre logiciel à jour afin de pouvoir y accéder depuis votre or­di­na­teur de bureau ou votre or­di­na­teur portable. Linux et Windows disposent de solutions dédiées. Les smart­phones équipés de la dernière version d’Android sont capables d’utiliser le DNS over TLS.

Puisque le DNS tra­di­tion­nel ne propose aucune mesure de sécurité, on n’encourt pas davantage de risques avec le DoT. Le système de chif­fre­ment empêche désormais les cy­ber­cri­mi­nels d’utiliser ce service pour leurs attaques. De même, les gou­ver­ne­ments ne peuvent plus utiliser le DNS pour ré­gu­la­ri­ser leurs mesures de censure, du moins en théorie. Le DNS over TLS est critiqué par de nombreux experts, car il utilise un port spé­ci­fique. Ainsi, même s’il est im­pos­sible de dé­ter­mi­ner quel site Web il faut consulter, il est cependant évident qu’une requête DNS a été envoyée. Cela pose un problème aux res­pon­sables en charge de la pro­tec­tion des données. Cependant, de nombreux ad­mi­nis­tra­teurs réseau con­si­dè­rent cette étape comme im­por­tante, afin de bé­né­fi­cier d’une meilleure vue d’ensemble des activités du réseau.

Ac­tuel­le­ment, des problèmes se posent également en raison de l’uti­li­sa­tion encore trop rare du DNS over TLS. Tous les systèmes d’ex­ploi­ta­tion, à l’exception d’Android 9, doivent être équipés de logiciels sup­plé­men­taires. Côté serveur, cette tech­no­lo­gie n’est pas (encore) très répandue : certes, on trouve déjà plusieurs pres­ta­taires, mais ils ne sont pas aussi nombreux que pour le DNS tra­di­tion­nel. Par con­sé­quent, certains experts redoutent l’émergence d’un monopole. À ce jour, les four­nis­seurs d’accès Internet four­nis­sent une grande partie des serveurs de noms. Cependant, d’autres sociétés, certes nettement moins à l’in­ter­na­tio­nal, pour­raient bientôt être en mesure de regrouper les requêtes DNS.

En marge du DoT, une autre tech­no­lo­gie fait ac­tuel­le­ment débat, qui pourrait améliorer la sécurité de la ré­so­lu­tion de noms : DNS over HTTPS (DoH). Ces deux solutions ont en commun le fait de chiffrer les com­mu­ni­ca­tions. La plus grande dif­fé­rence réside dans le port qui est utilisé. Et ce qui semblait anodin a conduit à un profond clivage entre les dif­fé­rents experts : alors que le DNS over TLS utilise son propre port, le DoH utilise le port 443, utilisé également pour toutes les autres con­nexions HTTPS, par exemple pour de simples visites de sites Internet. Ce qui veut dire qu’une requête DNS ne peut pas se dif­fé­ren­cier du reste du trafic lors de la na­vi­ga­tion sur le Web.

C’est un avantage du point de vue de la pro­tec­tion des données : si aucune requête DNS n’est détectée, aucune tentative ne peut être faite pour la bloquer. Certains ad­mi­nis­tra­teurs réseaux redoutent néanmoins de perdre le contrôle sur le trafic du réseau et de ne plus pouvoir gérer cor­rec­te­ment la com­mu­ni­ca­tion.

Deux camps se sont ainsi formés, chacun sou­hai­tant pro­mou­voir sa propre solution. Derrière le DoT on trouve en première ligne l’IETF, une or­ga­ni­sa­tion en charge du dé­ve­lop­pe­ment d’Internet. L’IETF élabore des normes qui, dans de nombreux cas, sont reprises par les autres acteurs du World Wide Web. Le DNS over HTTPS bénéficie du soutien d’autres sociétés et or­ga­ni­sa­tions. Citons à ce titre, la Mozilla Foun­da­tion et Google qui sont partisans de cette solution.