Le système de noms de domaine (DNS) est largement considéré comme l’annuaire téléphonique de l’internet, convertissant les noms de domaine en informations lisibles par les ordinateurs, telles que les adresses IP.
Chaque fois que vous écrivez un nom de domaine dans la barre d’adresse, le DNS le convertit automatiquement en son adresse IP correspondante. Votre navigateur utilise cette information pour récupérer les données du serveur d’origine et charger le site.
Mais les cybercriminels peuvent souvent espionner le trafic DNS, ce qui rend le cryptage nécessaire pour préserver la confidentialité et la sécurité de votre navigation sur le web.
Que sont les protocoles de chiffrement DNS ?
Les protocoles de chiffrement DNS sont conçus pour accroître la confidentialité et la sécurité de votre réseau ou de votre site web en chiffrant les requêtes et les réponses DNS. Les requêtes et les réponses DNS sont régulièrement envoyées en texte clair, ce qui facilite l’interception et la falsification de la communication par les cybercriminels.
Grâce aux protocoles de cryptage DNS, il est de plus en plus difficile pour ces pirates de consulter et de modifier vos données sensibles ou de perturber votre réseau. Il existe plusieurs fournisseurs de DNS cryptés qui peuvent protéger vos requêtes des regards indiscrets.
Les protocoles de cryptage DNS les plus courants
Plusieurs protocoles de cryptage DNS sont utilisés aujourd’hui. Ces protocoles de cryptage peuvent être utilisés pour empêcher l’espionnage sur un réseau en cryptant le trafic dans le cadre du protocole HTTPS ou d’une connexion TLS (transport layer security).
1. DNSCrypt
DNSCrypt est un protocole réseau qui crypte tout le trafic DNS entre l’ordinateur de l’utilisateur et les serveurs de noms généraux. Le protocole utilise une infrastructure à clé publique (PKI) pour vérifier l’authenticité du serveur DNS et de vos clients.
Il utilise deux clés, une clé publique et une clé privée, pour authentifier la communication entre le client et le serveur. Lorsqu’une requête DNS est lancée, le client la crypte à l’aide de la clé publique du serveur.
La requête chiffrée est ensuite envoyée au serveur, qui la déchiffre à l’aide de sa clé privée. De cette manière, DNSCrypt garantit que la communication entre le client et le serveur est toujours authentifiée et chiffrée.
DNSCrypt est un protocole de réseau relativement ancien. Il a été largement remplacé par DNS-over-TLS (DoT) et DNS-over-HTTPS (DoH) en raison du soutien plus large et des garanties de sécurité plus solides fournis par ces protocoles plus récents.
2. DNS-sur-TLS
DNS-over-TLS crypte votre requête DNS en utilisant Transport Layer Security (TLS). TLS garantit que votre requête DNS est cryptée de bout en bout, empêchant ainsi les attaques de type « man-in-the-middle » (MITM).
Lorsque vous utilisez DNS-over-TLS (DoT), votre requête DNS est envoyée à un résolveur DNS-over-TLS au lieu d’un résolveur non chiffré. Le résolveur DNS-over-TLS déchiffre votre requête DNS et l’envoie au serveur DNS faisant autorité en votre nom.
Le port par défaut de DoT est le port TCP 853. Lorsque vous vous connectez à l’aide de DoT, le client et le résolveur effectuent une poignée de main numérique. Ensuite, le client envoie sa requête DNS au résolveur via le canal TLS crypté.
Le résolveur DNS traite la requête, trouve l’adresse IP correspondante et renvoie la réponse au client par le canal crypté. La réponse cryptée est reçue par le client, où elle est décryptée, et le client utilise l’adresse IP pour se connecter au site web ou au service souhaité.
3. DNS-sur-HTTPS
HTTPS est la version sécurisée de HTTP qui est maintenant utilisée pour accéder aux sites web. Comme DNS-over-TLS, DNS-over-HTTPS (DoH) crypte également toutes les informations avant qu’elles ne soient envoyées sur le réseau.
Bien que l’objectif soit le même, il existe des différences fondamentales entre DoH et DoT. Pour commencer, DoH envoie toutes les requêtes cryptées via HTTPS au lieu de créer directement une connexion TLS pour crypter votre trafic.
Deuxièmement, il utilise le port 403 pour les communications générales, ce qui le rend difficile à différencier du trafic web général. DoT utilise le port 853, ce qui permet d’identifier plus facilement le trafic provenant de ce port et de le bloquer.
DoH a été plus largement adopté par les navigateurs web tels que Mozilla Firefox et Google Chrome, car il tire parti de l’infrastructure HTTPS existante. DoT est plus couramment utilisé par les systèmes d’exploitation et les résolveurs DNS dédiés, plutôt que d’être directement intégré dans les navigateurs web.
Les deux principales raisons pour lesquelles DoH a été plus largement adopté sont qu’il est beaucoup plus facile à intégrer dans les navigateurs web existants et, plus important encore, qu’il se fond parfaitement dans le trafic web normal, ce qui le rend beaucoup plus difficile à bloquer.
4. DNS-sur-QUIC
Comparé aux autres protocoles de cryptage DNS de cette liste, le protocole DNS-over-QUIC (DoQ) est relativement récent. Il s’agit d’un protocole de sécurité émergent qui envoie des requêtes et des réponses DNS via le protocole de transport QUIC (Quick UDP Internet Connections).
La majeure partie du trafic internet actuel repose sur le protocole de contrôle de transmission (TCP) ou le protocole de datagramme utilisateur (UDP), les requêtes DNS étant généralement envoyées par UDP. Cependant, le protocole QUIC a été introduit pour surmonter quelques inconvénients du TCP/UDP et permet de réduire la latence et d’améliorer la sécurité.
QUIC est un protocole de transport relativement nouveau développé par Google, conçu pour offrir de meilleures performances, une meilleure sécurité et une plus grande fiabilité que les protocoles traditionnels tels que TCP et TLS. QUIC combine les caractéristiques de TCP et d’UDP, tout en intégrant un chiffrement intégré similaire à TLS.
Plus récent, DoQ offre plusieurs avantages par rapport aux protocoles mentionnés ci-dessus. Tout d’abord, DoQ offre des performances plus rapides, réduisant la latence globale et améliorant les temps de connectivité. Il en résulte une résolution DNS plus rapide (le temps nécessaire au DNS pour résoudre l’adresse IP). En fin de compte, cela signifie que les sites web vous sont servis plus rapidement.
Plus important encore, DoQ est plus résistant à la perte de paquets par rapport à TCP et UDP, car il peut récupérer les paquets perdus sans nécessiter une retransmission complète, contrairement aux protocoles basés sur TCP.
En outre, il est beaucoup plus facile de migrer des connexions en utilisant QUIC. QUIC encapsule plusieurs flux dans une seule connexion, ce qui réduit le nombre d’allers-retours nécessaires pour une connexion et améliore ainsi les performances. Cela peut également s’avérer utile pour passer d’un réseau Wi-Fi à un réseau cellulaire.
QUIC n’a pas encore été largement adopté par rapport à d’autres protocoles. Mais des entreprises comme Apple, Google et Meta utilisent déjà QUIC, souvent en créant leur propre version (Microsoft utilise MsQUIC pour tout son trafic SMB), ce qui est de bon augure pour l’avenir.
Attendez-vous à d’autres changements dans le domaine du DNS à l’avenir
Les technologies émergentes devraient changer fondamentalement la façon dont nous accédons au web. Par exemple, de nombreuses entreprises s’appuient désormais sur les technologies de la blockchain pour proposer des protocoles de nommage de domaine plus sûrs, comme HNS et Unstoppable Domains.