Un DNS (Domain Name System) classique permet de résoudre (transformer) des noms de domaines en adresses IP afin de pouvoir contacter le serveur cible. Par exemple avangarde-consulting.com est le nom de domaine associé à l’IP 88.209.98.89. Cependant, tous ces échanges de résolution d’IP transitent en clair sur le réseau, ce qui peut impliquer de gros problèmes de confidentialité et de sécurité si ces requêtes venaient à être écoutées lors d’une attaque type « l’homme du milieu » par exemple (L’Homme du milieu est une attaque dans laquelle un acteur extérieur se place au milieu d’un échange pour en écouter et modifier le trafic).
Le protocole HTTPS (HyperText Transfer Protocol Secure) est une version sécurisée du protocole HTTP utilisé pour transférer des données sur les réseaux et en particulier le web. HTTPS utilise une combinaison de chiffrement et de certificats.
DNS Over HTTPS (ou DoH) est un protocole qui permet de renforcer la sécurité et la confidentialité des utilisateurs grâce au chiffrement des requêtes DNS. Ce protocole vise à remplacer le protocole DNS classique pour une version plus sécurisée, dans un environnement où la vie privée est de plus en plus menacée et ou il devient une nécessité absolue de la protéger.
Qu’est-ce que DNS Over Https (DoH) ?
DoH permet de faire transiter les requêtes grâce au protocole HTTPS (Hypertext Transfer Protocol Secure) qui utilise le port 443. La clé de chiffrement asymétrique utilisée par le certificat SSL / TLS assure le chiffrement des données échangées, ce qui garantit que seules les parties autorisées peuvent y accéder. De plus, ce certificat SSL / TLS permet de vérifier l'identité de son détenteur, garantissant ainsi que la connexion est sécurisée et que les données sont échangées en toute confidentialité.
On peut se poser la question de la différence entre les protocoles DNS, plus particulièrement le DNSSEC et le DNS Over HTTPS. En réalité, ils sont tous les deux complémentaires et n’agissent pas au même niveau. DoH chiffre la communication entre le client et le résolveur de domaine, alors que DNSSEC s’occupe de garantir l’authenticité du nom de domaine. Ainsi avec ces deux protocoles, on garantit l’intégrité, la confidentialité ainsi que l’authenticité du nom de domaine.
Pourquoi DNS Over HTTPS est-il important ?
La confidentialité et la sécurité des utilisateurs deviennent une priorité dans un environnement où toutes nos données sont récoltées, analysées et utilisées. DNS Over HTTPS permet de lutter contre des attaques comme le cache poisoning, qui est une attaque qui vise à corrompre la résolution de noms de domaine d'un serveur DNS en injectant de fausses informations dans son cache ou bien le DNS spoofing, qui est une attaque qui vise à tromper les utilisateurs en leur faisant accéder à des sites web malveillants ou frauduleux en utilisant des informations DNS falsifiées. En effet, en chiffrant et authentifiant les requêtes grâce au DNS Over HTTPS, cela rend beaucoup plus difficile à l’attaquant de corrompre le cache DNS et de renvoyer vers un site internet indésirable.
Dans certains environnements réseau, tel que les réseaux Wi-Fi publics, les requêtes DNS peuvent être interceptées ou altérées par des tiers malveillants. Le DoH protège les requêtes DNS en chiffrant les données, ce qui garantit que les utilisateurs peuvent naviguer sur Internet sans risque d'interception de leurs données de navigation.
Il est possible d’activer le DNS Over HTTPS directement dans votre navigateur depuis les paramètres de celui-ci. Attention à utiliser des résolveurs de confiance, tels que Cloudflare ou Google par exemple.
Les inconvénients potentiels du DNS over HTTPS : Ce que vous devez savoir avant de l'adopter
Fondamentalement, DoH répond à un réel besoin de confidentialité et de sécurité de l’information. Bien que cette technologie présente des avantages, elle comporte également quelques inconvénients potentiels.
Complexité : La mise en place de DoH au sein d'une entreprise peut être plus complexe que l'utilisation traditionnelle du DNS, ce qui peut entraîner un coût supplémentaire et une forte augmentation de la charge de travail pour les administrateurs des réseaux.
Performance : La mise en place du DoH peut entraîner une baisse de performance par rapport au DNS traditionnel en raison de la couche supplémentaire du chiffrement et du déchiffrement des requêtes.
Le chiffrement des requêtes DNS Over HTTPS ajoute une couche de sécurité supplémentaire qui peut ralentir la résolution des noms de domaine. En effet, le chiffrement et le déchiffrement des données peuvent entraîner une augmentation du temps de latence, ce qui peut ralentir le temps de réponse du serveur DNS.
Cependant, il convient de noter que la différence de performance entre le DNS traditionnel et le DNS Over HTTPS peut varier en fonction de nombreux facteurs, tels que la qualité de la connexion Internet, la localisation géographique du serveur DNS et le trafic réseau.
Il est donc important de prendre en compte les performances et la latence lors de l'adoption du DNS Over HTTPS, en s'assurant que la surcharge supplémentaire introduite par le chiffrement n'affectera pas de manière significative la performance globale de l'infrastructure réseau.
Compatibilité : Certains équipements réseaux et logiciels ne sont pas encore compatibles avec le DoH, ce qui peut rendre difficile son déploiement dans certains environnements.
Sécurité : Dans le cadre du déploiement du DoH dans une entreprise, l’un des inconvénients est la difficulté accrue de surveiller le trafic DNS. En effet de nombreuses solutions de sécurité s’appuient sur l’analyse du réseau et notamment des données transmises lors des requêtes. Si celles-ci deviennent chiffrées, il est impossible pour la solution de détecter une activité anormale au sein du système d’information et donc de remonter une alerte.
Conclusion
En conclusion, le DNS Over HTTPS (DoH) est une technologie qui permet de sécuriser les échanges DNS en les chiffrant via HTTPS. Bien que le DoH présente des avantages en termes de confidentialité et de sécurité, il comporte également des inconvénients potentiels tels que la complexité, la possible baisse de performance, la difficulté à surveiller le trafic DNS et la compatibilité.
Avant d'adopter le DoH, il est important de prendre en compte ces facteurs et d'évaluer les avantages et les inconvénients potentiels pour votre infrastructure réseau spécifique. Il est également important de mettre en place des politiques de sécurité et des mécanismes de surveillance adaptés à l'utilisation du DoH pour protéger votre réseau contre les activités malveillantes.
En fin de compte, le choix d'utiliser ou non le DNS Over HTTPS dépendra des besoins spécifiques de chaque organisation en termes de sécurité, de confidentialité et de performance. Le DoH est une technologie en constante évolution et son adoption nécessite une réflexion approfondie pour en tirer le meilleur parti tout en minimisant les risques potentiels.
Vous cherchez un partenaire de confiance pour renforcer la sécurité de votre infrastructure réseau et protéger vos données confidentielles contre les menaces croissantes de cybercriminalité ? Avangarde Consulting, peut vous aider à évaluer les avantages et les risques potentiels de l'adoption du DNS over HTTPS (DoH) et mettre en place des politiques de sécurité adaptées à votre environnement spécifique.
Lucas, Consultant en cybersécurité Avangarde Consulting
