DNS sur TLS et DNS sur HTTPS | DNS sécurisé

Les requêtes DNS sont envoyées en texte brut, ce qui signifie que tout le monde peut les lire. Le DNS sur HTTPS et le DNS sur TLS chiffrent les requêtes et les réponses du DNS pour que la navigation des utilisateurs reste sécurisée et privée. Cependant, les deux approches ont leurs avantages et leurs inconvénients.

Share facebook icon linkedin icon twitter icon email icon

DNS over TLS

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Comprendre pourquoi le DNS a besoin d'une plus grande sécurité et pourquoi la confidentialité du DNS est importante
  • Découvrez le fonctionnement du DNS sur TLS et du DNS sur HTTPS ainsi que les différences entre les deux
  • Expliquer les avantages et les inconvénients des deux approches
  • Comparer le DNS sur TLS ou sur HTTPS au DNSSEC

Pourquoi le DNS a-t-il besoin de couches de sécurité supplémentaires ?

Le DNS est l'annuaire téléphonique de l'internet. les résolveurs DNS traduisent les noms de domaine lisibles par l'homme en adresses IP lisibles par la machine. Par défaut, les requêtes et les réponses DNS sont envoyées en texte brut (via UDP), ce qui signifie qu'elles peuvent être lues par les réseaux, les FAI ou toute personne ayant la capacité de surveiller les transmissions. Même si un site web utilise le HTTPS, la requête DNS nécessaire pour naviguer vers ce site est visible.

Cette absence de confidentialité a un impact énorme sur la sécurité et, dans certains cas, sur les droits de l'homme. Si les requêtes DNS ne sont pas privées, il devient alors plus facile pour les gouvernements de censurer Internet et pour les acteurs malveillants de traquer le comportement des utilisateurs en ligne.

Trafic DNS non sécurisé

Une requête DNS normale et non chiffrée peut être comparée à une carte postale envoyée par courrier : toute personne chargée de traiter le courrier peut lire le texte écrit au verso de la carte. Il n'est donc pas prudent d'envoyer une carte postale qui contient des informations sensibles ou privées.

Le DNS sur TLS et le DNS sur HTTPS sont deux normes développées pour le chiffrement du trafic DNS en texte brut afin d'empêcher les parties malveillantes, les annonceurs, les FAI et autres de pouvoir interpréter les données. Pour poursuivre l'analogie, ces normes visent à enfermer les cartes postales envoyées par courrier dans une enveloppe, pour que quiconque puisse envoyer une carte postale sans craindre les indiscrétions d'un tiers.

DNS over TLS

Qu'est-ce que le DNS sur TLS ?

Le DNS sur TLS, ou DoT (DNS over TLS), est une norme de chiffrement des requêtes DNS pour les garder sécurisées et privées. Le DoT utilise le même protocole de sécurité, TLS, que les sites web en HTTPS utilisent pour chiffrer et authentifier les communications. (Le TLS est également connu sous le nom de « SSL »). Le DoT ajoute le chiffrement TLS en haut du protocole UDP (User Datagram Protocol ou protocole de datagramme utilisateur en français), qui est utilisé pour les requêtes DNS. En outre, il garantit que les requêtes et les réponses DNS ne sont pas altérées ou falsifiées par des attaques de l'homme du milieu.

Qu'est-ce que le DNS sur HTTPS ?

Le DNS sur HTTPS, ou DoH, est une alternative au DoT. Avec le DoH, les requêtes et les réponses DNS sont chiffrées, mais elles sont envoyées via les protocoles HTTP ou HTTP/2 au lieu de passer directement en UDP. Comme le DoT, le DoH veille à ce que les attaquants ne puissent pas falsifier ou modifier le trafic DNS. Le trafic DoH ressemble à un autre trafic HTTPS, par exemple les interactions normales d'utilisateurs avec les sites web et les applications web (du point de vue d'un administrateur réseau).

Attendez, le HTTPS n'utilise-t-il pas aussi le TLS pour le chiffrement ? En quoi le DNS sur TLS et le DNS sur HTTPS sont-ils différents ?

Chaque norme a été développée séparément et possède sa propre documentation RFC*, mais la différence la plus importante entre le DoT et le DoH est le port qu'ils utilisent. Le DoT n'utilise que le port 853, tandis que le DoH utilise le port 443, qui est le port également utilisée par le trafic HTTPS.

Comme le DoT dispose d'un port dédié, toute personne ayant une visibilité sur le réseau peut voir le trafic DoT entrer et sortir même si, pour leur part, les requêtes et les réponses sont chiffrées. En revanche, avec le DoH, les requêtes et les réponses DNS sont quelque peu camouflées dans le trafic HTTPS, puisque tout transite par le même port.

*RFC signifie « Request for Comments » littéralement « demandes de commentaires ». Un RFC est une initiative collective de développeurs, d'experts en réseaux et de leaders éclairés visant à normaliser une technologie ou un protocole Internet.

Qu'est-ce qu'un port ?

En technologie réseau, un port est un endroit virtuel sur une machine qui est ouvert aux connexions d'autres machines. Chaque ordinateur relié à un réseau possède un nombre standard de ports, et chaque port est réservé à certains types de communication.

Les ports d'une machine sont comme les quais pour les navires dans un port maritime : chaque quai est numéroté, et les différents types de navires sont censés se rendre à des quais différents pour décharger des marchandises ou débarquer des passagers. Tout se passe de la même façon dans un réseau : certains types de communications sont censés aller vers certains ports du réseau. À la différence des quais, les ports du réseau sont virtuels : ce sont des lieux de connexion numérique plutôt que physique.

Quel protocole est le meilleur, le DoT ou le DoH ?

C'est un sujet qui fait débat. Du point de vue de la sécurité des réseaux, le DoT est sans doute meilleur. Il offre aux administrateurs de réseau la possibilité de surveiller et de bloquer les requêtes DNS, ce qui est important pour identifier et bloquer le trafic malveillant. Les requêtes DoH, quant à elles, sont cachées dans le trafic HTTPS ordinaire, ce qui signifie qu'elles ne peuvent pas être facilement bloquées sans bloquer également le trafic HTTPS restant.

Toutefois, du point de vue de la confidentialité, le DoH est sans doute préférable. Avec le DoH, les requêtes DNS sont cachées dans le flux le plus important du trafic HTTPS. Cela donne aux administrateurs de réseaux moins de visibilité, mais confère aux utilisateurs une plus grande confidentialité.

1.1.1.1, le résolveur DNS gratuit de Cloudflare, prend en charge à la fois le DoT et le DoH.

Quelle est la différence entre le DNS sur TLS/HTTPS et le DNSSEC ?

Le DNSSEC est un ensemble d'extensions de sécurité permettant de vérifier l'identité des serveurs racine DNS et des serveurs de noms faisant autorité dans les communications avec les résolveurs DNS. Il est conçu pour prévenir, parmi d'autres attaques, l'empoisonnement du cache DNS. Il ne chiffre pas les communications. Le DNS sur TLS ou HTTPS, en revanche, chiffre les requêtes DNS. 1.1.1.1 prend également en charge le DNSSEC.

En savoir davantage sur 1.1.1.1, voir Qu'est-ce que 1.1.1.1 ?