LMi-MAG 8 Juillet 2021 - Flipbook - Page 59
TOUT SAVOIR SUR LE DOH,
LE DOT ET LE CRYPTAGE
DU TRAFIC DNS
Le DNS over HTTPS, ou DoH, et le DNS over TLS, ou DoT, assurent la confidentialité
des données grâce à un chiffrement de bout en bout du trafic DNS,
mais chacun présente des inconvénients.
V
Ax Sharma, IDG NS (adapté par Jean Elyan)
éritable colonne vertébrale de
l’Internet, le protocole DNS (Domain Name System) a fait l’objet
d’une série d’améliorations et de
perfectionnements au cours des
dernières années. L’absence de
protections rigoureuses dans la
spécification originale du DNS et
la découverte de faiblesses de sécurité au fil du temps –
comme le bogue Kaminsky, vieux de dix ans – ont donné
naissance aux extensions de sécurité du système de noms
de domaine (DNSSEC) en 2010. Le DNSSEC a été créé pour
mettre en place des protections cryptographiques par le
biais de signatures numériques, afin que les clients DNS
du monde entier puissent vérifier de manière autoritaire
qu’une réponse DNS provient bien d’un serveur DNS faisant autorité et que la réponse n’a pas été modifiée en
transit.
Alors, certains d’entre vous se demandent
peut-être si le DNSSEC peut assurer la
sécurité de façon adéquate, pourquoi le
DNS sur HTTPS et le DNS sur TLS sont
nécessaires ? Le DNSSEC garantit uniquement l’authenticité des réponses
DNS et l’intégrité des données, mais pas
la confidentialité. Les protocoles tels que
DNS over HTTPS (DoH) ou DNS over TLS
(DoT) fournissent un cryptage de bout en
bout, assurant ainsi la confidentialité des
données. En d’autres termes, votre trafic DNS bénéficie
désormais du même cryptage de bout en bout que votre
trafic Web vers et depuis les sites HTTPS.
Qu’est-ce que le DNS over HTTPS ?
Par défaut, le protocole DNS fonctionne sur le protocole
UDP (User Datagram Protocol), un protocole de couche
de transport, bien que le DNS puisse également fonctionner sur le protocole TCP (Transmission Control Protocol).
DoH transmet les messages DNS cryptés sur HTTPS, par
opposition au protocole UDP, plus rapide. Comme HTTPS
est le protocole HTTP exécuté sur TLS (Transport Layer
Security), DoH est en fait un DNS sur HTTP sur TLS. Avec
DoH, les requêtes et les réponses DNS sont transmises
par HTTPS et utilisent le port 443, ce qui rend le trafic
pratiquement impossible à distinguer de tout autre trafic
Web HTTPS. Par exemple, en utilisant le service DoH de
Google, vous pouvez essayer de résoudre vous-même le
domaine CSOOnline.com à partir de votre
navigateur Web. La manière de taper une
GARDER LES MENACES À
DISTANCE AVEC EFFICIENTIP URL HTTPS dans votre navigateur pour
résoudre le nom de domaine par HTTPS
Article
ressemble à la visite de n’importe quel site
Web ordinaire qui utilise SSL/TLS.
cutt.ly/actu-efficientip
La réponse DNS renvoyée par Google indique l’adresse IP du serveur de CSO (enregistrements A), le tout soigneusement
emballé dans le format JSON.
59