Il existe différentes façons de protéger vos requêtes DNS, mais chaque approche a ses propres forces et faiblesses.
Le système de noms de domaine (DNS) est largement considéré comme le répertoire d'Internet, convertissant les noms de domaine en informations pouvant être lues par les ordinateurs, telles que les adresses IP.
Chaque fois que vous écrivez un nom de domaine dans la barre d'adresse, le DNS le convertit automatiquement en son adresse IP correspondante. Votre navigateur utilise ces informations pour récupérer les données du serveur d'origine et charger le site.
Mais les cybercriminels peuvent souvent espionner le trafic DNS, ce qui rend le cryptage nécessaire pour garder votre navigation Web privée et sécurisée.
Que sont les protocoles de chiffrement DNS?
Les protocoles de cryptage DNS sont conçus pour accroître la confidentialité et la sécurité de votre réseau ou site Web en cryptant les requêtes et les réponses DNS. Les requêtes et les réponses DNS sont régulièrement envoyées en texte brut, ce qui permet aux cybercriminels d'intercepter et de falsifier plus facilement la communication.
Les protocoles de cryptage DNS rendent de plus en plus difficile pour ces pirates de visualiser et de modifier vos données sensibles ou de perturber votre réseau. Il y a plusieurs fournisseurs DNS cryptés qui peuvent protéger vos requêtes des regards indiscrets.
Les protocoles de chiffrement DNS les plus courants
Plusieurs protocoles de cryptage DNS sont utilisés aujourd'hui. Ces protocoles de chiffrement peuvent être utilisés pour empêcher l'espionnage sur un réseau en chiffrant le trafic au sein du protocole HTTPS via une connexion TLS (Transport Layer Security).
1. DNSCryptName
DNSCrypt est un protocole réseau qui crypte tout le trafic DNS entre l'ordinateur de l'utilisateur et les serveurs de noms généraux. Le protocole utilise une infrastructure à clé publique (PKI) pour vérifier l'authenticité du serveur DNS et de vos clients.
Il utilise deux clés, une clé publique et une clé privée pour authentifier la communication entre le client et le serveur. Lorsqu'une requête DNS est lancée, le client la crypte à l'aide de la clé publique du serveur.
La requête cryptée est ensuite envoyée au serveur, qui décrypte la requête à l'aide de sa clé privée. De cette façon, DNSCrypt garantit que la communication entre le client et le serveur est toujours authentifiée et cryptée.
DNSCrypt est un protocole réseau relativement ancien. Il a été largement remplacé par DNS-over-TLS (DoT) et DNS-over-HTTPS (DoH) en raison de la prise en charge plus large et des garanties de sécurité renforcées fournies par ces nouveaux protocoles.
2. DNS sur TLS
DNS-over-TLS crypte votre requête DNS à l'aide de Transport Layer Security (TLS). TLS garantit que votre requête DNS est chiffrée de bout en bout, prévenir les attaques de l'homme du milieu (MITM).
Lorsque vous utilisez DNS-over-TLS (DoT), votre requête DNS est envoyée à un résolveur DNS-over-TLS au lieu d'un résolveur non chiffré. Le résolveur DNS-over-TLS déchiffre votre requête DNS et l'envoie au serveur DNS faisant autorité en votre nom.
Le port par défaut pour DoT est le port TCP 853. Lorsque vous vous connectez à l'aide de DoT, le client et le résolveur exécutent une poignée de main numérique. Ensuite, le client envoie sa requête DNS via le canal TLS chiffré au résolveur.
Le résolveur DNS traite la requête, trouve l'adresse IP correspondante et renvoie la réponse au client via le canal crypté. La réponse chiffrée est reçue par le client, où elle est déchiffrée, et le client utilise l'adresse IP pour se connecter au site Web ou au service souhaité.
3. DNS sur HTTPS
HTTPS est la version sécurisée de HTTP qui est maintenant utilisée pour accéder aux sites Web. Comme DNS-over-TLS, DNS-over-HTTPS (DoH) crypte également toutes les informations avant qu'elles ne soient envoyées sur le réseau.
Bien que l'objectif soit le même, il existe des différences fondamentales entre DoH et DoT. Pour commencer, DoH envoie toutes les requêtes chiffrées via HTTPS au lieu de créer directement une connexion TLS pour chiffrer votre trafic.
Deuxièmement, il utilise le port 403 pour la communication générale, ce qui rend difficile la différenciation du trafic Web général. Le DoT utilise le port 853, ce qui facilite grandement l'identification du trafic provenant de ce port et le bloque.
DoH a connu une adoption plus large dans les navigateurs Web tels que Mozilla Firefox et Google Chrome, car il exploite l'infrastructure HTTPS existante. DoT est plus couramment utilisé par les systèmes d'exploitation et les résolveurs DNS dédiés, plutôt que d'être directement intégré dans les navigateurs Web.
Deux principales raisons pour lesquelles DoH a connu une adoption plus large sont qu'il est beaucoup plus facile à intégrer dans le Web existant navigateurs, et plus important encore, il se fond parfaitement avec le trafic Web régulier, ce qui rend beaucoup plus difficile à bloc.
4. DNS sur QUIC
Comparé aux autres protocoles de cryptage DNS de cette liste, DNS-over-QUIC (DoQ) est relativement nouveau. Il s'agit d'un protocole de sécurité émergent qui envoie des requêtes et des réponses DNS via le protocole de transport QUIC (Quick UDP Internet Connections).
Aujourd'hui, la plupart du trafic Internet repose sur le protocole de contrôle de transmission (TCP) ou le protocole de datagramme utilisateur (UDP), les requêtes DNS étant généralement envoyées via UDP. Cependant, le protocole QUIC a été introduit pour surmonter quelques inconvénients de TCP/UDP et permet de réduire la latence et d'améliorer la sécurité.
QUIC est un protocole de transport relativement nouveau développé par Google, conçu pour offrir de meilleures performances, sécurité et fiabilité par rapport aux protocoles traditionnels tels que TCP et TLS. RAPIDE combine les fonctionnalités de TCP et UDP, tout en intégrant un chiffrement intégré similaire à TLS.
Comme il est plus récent, DoQ offre plusieurs avantages par rapport aux protocoles mentionnés ci-dessus. Pour commencer, DoQ offre des performances plus rapides, réduisant la latence globale et améliorant les temps de connectivité. Cela se traduit par une résolution DNS plus rapide (le temps nécessaire au DNS pour résoudre l'adresse IP). En fin de compte, cela signifie que les sites Web vous sont servis plus rapidement.
Plus important encore, DoQ est plus résistant à la perte de paquets que TCP et UDP, car il peut récupérer des paquets perdus sans nécessiter une retransmission complète, contrairement aux protocoles basés sur TCP.
De plus, il est également beaucoup plus facile de migrer des connexions à l'aide de QUIC. QUIC encapsule plusieurs flux dans une seule connexion, réduisant ainsi le nombre d'allers-retours requis pour une connexion et améliorant ainsi les performances. Cela peut également être utile lors de la commutation entre le Wi-Fi et les réseaux cellulaires.
QUIC n'a pas encore été largement adopté par rapport à d'autres protocoles. Mais des entreprises comme Apple, Google et Meta utilisent déjà QUIC, créant souvent leur propre version (Microsoft utilise MsQUIC pour tout son trafic SMB), ce qui augure bien pour l'avenir.
Attendez-vous à plus de changements dans le DNS à l'avenir
On s'attend à ce que les technologies émergentes changent fondamentalement la façon dont nous accédons au Web. Par exemple, de nombreuses entreprises exploitent désormais les technologies de la blockchain pour proposer des protocoles de nommage de domaine plus sûrs, comme HNS et Unstoppable Domains.
