LMi-MAG 8 Juillet 2021 - Flipbook - Page 60
© Imaginima - iStock
FOCUS
Réseau
Les administrateurs réseau peuvent
exprimer une légère préférence pour DoT,
car il leur donne plus de flexibilité.
Bien que le fait que vous utilisiez le service DoH de
Google puisse être connu d’un administrateur réseau, en
supposant qu’un proxy de type « man-in-the-middle »
(MitM) n’est pas présent entre vous et le service DoH
de Google, personne ne sera en mesure de déterminer
le domaine que vous avez essayé de rechercher (CSO
Online) ou la réponse à votre requête DNS (le résultat
JSON). Par conséquent, l’utilisation de DoH garantit à
la fois votre vie privée (confidentialité des données) et
l’intégrité des informations reçues, c’est-à-dire que la
réponse DNS n’a pas été altérée en transit. La fourniture de DNS sur un canal de cryptage de bout en bout
peut également devenir problématique. Par exemple, les
attaquants ont déjà abusé des services DNS sur HTTPS
pour cacher du trafic malveillant.
Les attaquants résolvent leur domaine malveillant via le
DoH de Google, ou de tout autre fournisseur de DoH. La
réponse chiffrée renvoyée contient des enregistrements
TXT pour le domaine contrôlé par l’attaquant avec une
charge utile malveillante codée qui peut ensuite être
analysée par un logiciel malveillant. C’est essentiellement
de cette manière que les acteurs de la menace peuvent
abuser des protocoles DNS sécurisés pour faciliter leurs
activités de commande et de contrôle (C2). Étant donné
que les fournisseurs DoH ont des utilisations commer60 / Hors-série Sécurité / juillet 2021
ciales légitimes, il serait difficile de bloquer simplement
le trafic entrant ou sortant entre vos réseaux d’entreprise
et les fournisseurs DoH.
Qu’est-ce que le DNS sur TLS ?
DoT crypte les requêtes DNS sur le protocole TLS (au
niveau de la couche transport), plutôt que sur HTTPS qui
se trouve au niveau de la couche application. Contrairement à DoH, DoT saute une couche intermédiaire, le
HTTPS au niveau de l’application. Fondamentalement,
DoT chiffre les demandes et les réponses DNS UDP
sur TLS et s’assure que ces messages ne sont pas altérés au cours de leur transmission. DoT utilise un port
totalement différent : 853 – distinct des ports utilisés par
HTTPS (port 443) ou par le simple DNS (port 53). Comme
pour DoH, le trafic DoT bénéficie d’un cryptage de bout
en bout car la communication entre un client DNS et
un résolveur se fait par TLS.
Quel est le meilleur protocole DNS ?
La question de savoir si DoH est meilleur que DoT est
sujette à débat. Les administrateurs réseau peuvent
exprimer une légère préférence pour DoT, car il leur
donne plus de flexibilité lorsqu’il s’agit de surveiller