Le DNS over TLS : le meilleur protocole de sécurité

Le Domain Name System (DNS) nous permet de naviguer sur Internet sans problème. Sans ce système, nous serions obligés de saisir à chaque fois une adresse IP dans notre navigateur afin de pouvoir accéder à un site Web. Grâce au DNS, il suffit de mémoriser des URL simples. Mais cette situation confortable n’a fonctionné jusqu’à présent qu’au détriment de la sécurité. Grâce au DNS over TLS (DoT), on peut désormais limiter considérablement les risques liés à la navigation sur Internet. Comment fonctionne cette technologie ?

Le système de noms de domaines est certes pratique, mais il a été imaginé à une époque où Internet était beaucoup moins développé et où les questions de sécurité avaient nettement moins d’importance qu’aujourd’hui. Le DNS fonctionne de la manière suivante : chaque client (par exemple le PC du domicile) adresse une requête à un serveur de noms afin de connaître l’adresse IP exacte correspondant au nom de domaine saisi. Si la saisie n’est plus dans le cache du navigateur, du PC ou du routeur, il faut établir une connexion par Internet. La connexion entre un client et un serveur DNS peut donner lieu à des attaques, puisque la communication dans le DNS s’effectue la plupart du temps sans aucun cryptage.

Il est par conséquent très facile pour les cybercriminels de lire ou de falsifier les informations échangées entre les parties concernées. Les requêtes sont interceptées et des réponses erronées sont renvoyées. Cette technique est connue sous le nom de DNS Hijacking. Voilà comment les utilisateurs se retrouvent sur des pages auxquelles ils n’auraient jamais dû accéder. Dans le meilleur des cas, ils ne seront importunés que par de la publicité à outrance. Dans le pire des cas, vous pouvez infecter votre ordinateur avec un logiciel malveillant ou être la victime d’une attaque de phishing. Cela permet à l’attaquant de collecter des données extrêmement sensibles.

Les gouvernements et les fournisseurs d’accès Internet exploitent également les faiblesses du DNS et diffusent davantage de publicité ou bloquent certains sites Web, que ce soit pour faire appliquer certaines législations locales sur Internet ou pour censurer toute opinion dissidente. Une connexion chiffrée avec le DoT peut s’avérer utile afin de lutter aussi bien contre les activités criminelles que contre des détournements légaux.

Le protocole de Transport Layer Security (TLS) fonctionne avec la couche supérieure de la pile de protocoles TCP/IP et fait ainsi partie intégrante d’Internet et de nombreux autres réseaux. On reconnaît facilement ce protocole dans le cadre du HTTPS. Le TLS permet aujourd’hui de sécuriser les transmissions du client vers le serveur Web. À l’avenir, le TLS assurera également la sécurité des communications sur le DNS.

Avec le DNS over TLS, l’échange de données passe par un tunnel crypté. Seules les deux parties concernées par cette communication peuvent décrypter et traiter les données. Une man-in-the-middle-attack (« attaque de l’homme du milieu ») est par conséquent inutile car l’attaquant ne pourra pas exploiter les données. Pour cela, le transport s’effectue via de simples connexions TCP et le port standard 853. Le DoT dispose ainsi de son propre port, uniquement destiné à l’échange d’informations de domaine.

Il faut néanmoins que cette technologie soit prise en charge à la fois par le serveur et par le client. Il existe désormais plusieurs prestataires sur Internet qui proposent des serveurs DNS. Vous devrez néanmoins mettre votre logiciel à jour afin de pouvoir y accéder depuis votre ordinateur de bureau ou votre ordinateur portable. Linux et Windows disposent de solutions dédiées. Les smartphones équipés de la dernière version d’Android sont capables d’utiliser le DNS over TLS.

Puisque le DNS traditionnel ne propose aucune mesure de sécurité, on n’encourt pas davantage de risques avec le DoT. Le système de cryptage empêche désormais les cybercriminels d’utiliser ce service pour leurs attaques. De même, les gouvernements ne peuvent plus utiliser le DNS pour régulariser leurs mesures de censure, du moins en théorie. Le DNS over TLS est critiqué par de nombreux experts, car il utilise un port spécifique. Ainsi, même s’il est impossible de déterminer quel site Web il faut consulter, il est cependant évident qu’une requête DNS a été envoyée. Cela pose un problème aux responsables en charge de la protection des données. Cependant, de nombreux administrateurs réseau considèrent cette étape comme importante, afin de bénéficier d’une meilleure vue d’ensemble des activités du réseau.

Actuellement, des problèmes se posent également en raison de l’utilisation encore trop rare du DNS over TLS. Tous les systèmes d’exploitation, à l’exception d’Android 9, doivent être équipés de logiciels supplémentaires. Côté serveur, cette technologie n’est pas (encore) très répandue : certes, on trouve déjà plusieurs prestataires, mais ils ne sont pas aussi nombreux que pour le DNS traditionnel. Par conséquent, certains experts redoutent l’émergence d’un monopole. À ce jour, les fournisseurs d’accès Internet fournissent une grande partie des serveurs de noms. Cependant, d’autres sociétés, certes nettement moins à l’international, pourraient bientôt être en mesure de regrouper les requêtes DNS.

En marge du DoT, une autre technologie fait actuellement débat, qui pourrait améliorer la sécurité de la résolution de noms : DNS over HTTPS (DoH). Ces deux solutions ont en commun le fait de crypter les communications. La plus grande différence réside dans le port qui est utilisé. Et ce qui semblait anodin a conduit à un profond clivage entre les différents experts : alors que le DNS over TLS utilise son propre port, le DoH utilise le port 443, utilisé également pour toutes les autres connexions HTTPS, par exemple pour de simples visites de sites Internet. Ce qui veut dire qu’une requête DNS ne peut pas se différencier du reste du trafic lors de la navigation sur le Web.

C’est un avantage du point de vue de la protection des données : si aucune requête DNS n’est détectée, aucune tentative ne peut être faite pour la bloquer. Certains administrateurs réseaux redoutent néanmoins de perdre le contrôle sur le trafic du réseau et de ne plus pouvoir gérer correctement la communication.

Deux camps se sont ainsi formés, chacun souhaitant promouvoir sa propre solution. Derrière le DoT on trouve en première ligne l’IETF, une organisation en charge du développement d’Internet. L’IETF élabore des normes qui, dans de nombreux cas, sont reprises par les autres acteurs du World Wide Web. Le DNS over HTTPS bénéficie du soutien d’autres sociétés et organisations. Citons à ce titre, la Mozilla Foundation et Google qui sont partisans de cette solution.