Glossaire relatif à la confidentialité

CNAME

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Qu’est-ce que CNAME ?

Abréviation de « nom canonique », le CNAME est un type d’enregistrement DNS utilisé pour associer un nom de domaine alternatif ou secondaire à son nom de domaine principal. Le nom canonique retourné peut ensuite être utilisé pour obtenir l’adresse IP.

Le DNS (Domain Name System) est la carte qui relie le nom de site web lisible par l’homme (comme exemple.com) à l’adresse IP numérique associée (comme 203.0.113.43). Parfois, le nom du site web demandé n’est pas le nom principal directement lié à l’adresse IP. Dans ce cas, la table DNS contient un enregistrement CNAME qui associe le nom demandé (tel que recherche.example.com) au nom canonique (dans ce cas example.com). Ensuite, une deuxième recherche DNS est effectuée en utilisant le nom canonique pour trouver l’adresse IP.

Pourquoi y a-t-il des enregistrements CNAME ?

Les enregistrements CNAME permettent à un propriétaire de domaine de diriger les requêtes pour divers sous-domaines vers une seule adresse IP. Une fois la requête arrivée à l’adresse IP, le serveur Web déterminera ensuite exactement quelle page a été demandée et fournira ce contenu. Poursuivant avec notre exemple de demande pour recherche.example.com, lorsque la demande arrive à la bonne adresse IP pour example.com, le serveur Web lit le site original demandé (recherche.example.com) et renvoie la page de recherche. Un processus similaire se produit lorsqu’un utilisateur demande support.example.com.

Les enregistrements CNAME permettent également de rediriger les erreurs courantes, comme lorsque la demande pour example.net redirige un utilisateur vers example.com.

Les entrées DNS pour ces noms alternatifs pourraient toutes pointer directement vers l’adresse IP en utilisant un enregistrement DNS de base au lieu d’un enregistrement CNAME. Mais si l’adresse IP change, tous ces enregistrements devraient être mis à jour. En pointant tous les noms alternatifs vers le nom canonique, seul un enregistrement DNS (et donc une adresse IP) devrait être mis à jour. Avoir des enregistrements CNAME rend le DNS plus facile à maintenir et moins susceptible d’avoir des erreurs.

Les enregistrements CNAME sont-ils sécurisés ?

Toute entrée DNS, comme un enregistrement CNAME, est vulnérable à plusieurs types d’attaques. Les termes les plus courants pour ces attaques sont détournement, attaque par usurpation d’identité et empoisonnement du cache. La méthode exacte de ces attaques peut varier, mais elles visent toutes à rediriger la demande de l’utilisateur pour un site web légitime vers un site alternatif (souvent usurpé) du choix de l’attaquant. La redirection peut être pour le hameçonnage (phishing), afficher des publicités, collecter des données, ou censurer du contenu. (L’entrée du glossaire de confidentialité Brave pour DNS a plus d’informations sur ces risques de sécurité.)

Deux attaques courantes contre les enregistrements CNAME sont appelées attaques par “cloaking” et “dangling name”. Dans une attaque de dissimulation, un pirate insère un enregistrement CNAME trompeur dans la table DNS pour contourner les bloqueurs de pub qui rejettent les annonces tierces et les traqueurs en comparant les requêtes DNS à une liste connue de domaines indésirables. Un enregistrement CNAME camouflé peut ressembler de très près à un nom qui serait associé au nom canonique d’un site légitime. Une autre tactique de cloaking consiste à changer constamment le nom canonique que l’enregistrement CNAME retourne, restant ainsi un pas en avance sur les données du bloqueur concernant les domaines à bloquer. Si le bloqueur ne peut pas détecter le camouflaged, le contenu indésirable est chargé dans le navigateur de l’utilisateur.

Un enregistrement CNAME abandonné est celui qui était légitime mais a depuis été abandonné; peut-être parce que le site original a été supprimé ou renommé. Un cas courant de ceci est une boutique sur une place de marché; disons example.etsy.com. Lorsque le vendeur établit sa « boutique exemple », une entrée CNAME est ajoutée dans la table DNS pour mapper « exemple.etsy.com » au nom canonique « etsy.com ». Si le vendeur ferme la boutique et que l’entrée CNAME n’est pas supprimée de la table DNS, cette entrée devient un nom suspendu. Elle peut être récupérée par des pirates. Toute personne essayant alors de visiter « exemple.etsy.com » sera redirigée vers un site choisi par le pirate.

Protections face au piratage des CNAME

Le DNS a été initialement conçu aux débuts d’Internet. Ses créateurs n’ont pas anticipé les menaces des acteurs malveillants auxquels nous faisons face aujourd’hui. Par conséquent, ils n’ont pas inclus de mesures de sécurité dans sa conception. Les attaques DNS, comme celles sur les enregistrements CNAME, peuvent être très difficiles à détecter. Sans protections intégrées dans le DNS, il incombe aux propriétaires de sites web et aux utilisateurs de rester vigilants et d’utiliser les outils disponibles pour leur protection.

Les propriétaires de sites peuvent prendre plusieurs mesures pour protéger les données de leur table DNS contre les attaques, notamment :

  • Utilisez un protocole appelé DNSSEC (pour les Extensions de Sécurité du Serveur de Noms de Domaine) afin d’ajouter une signature numérique à une entrée de la table DNS. Cela permet de vérifier que l’enregistrement est authentique. Cette étape d’authentification empêche les utilisateurs de sites web d’être redirigés vers le mauvais site.
  • Surveiller le trafic du site pour détecter des changements soudains. Si le nombre de visites chute soudainement ou de manière significative, cela peut indiquer que leurs enregistrements DNS ont été détournés d’une manière ou d’une autre, et que les visiteurs potentiels sont redirigés.
  • Vérifier périodiquement les entrées DNS pour s’assurer qu’elles n’ont pas été modifiées.

Il y a aussi des actions que vous pouvez entreprendre pour éviter d’être redirigé vers le mauvais site web, et pour vous protéger si vous êtes connecté à un contenu malveillant :

  • Utilisez un VPN, particulièrement lorsque vous êtes sur une connexion Wi-Fi publique. Cela peut protéger contre les attaques de type « man-in-the-middle » qui pourraient tenter d’intercepter le trafic entre vous et le serveur DNS.
  • Lorsque vous chargez un site web, vérifiez que c’est bien celui que vous vouliez. Même s’il semble correct, assurez-vous que l’adresse réelle du site web est correcte (par exemple, « example.com » et non « examplllle.com »). Vérifiez la barre d’adresse du navigateur pour « https:// » (et non « http:// »).
  • Maintenez à jour tous les logiciels, comme les logiciels antivirus. Cela peut aider à empêcher l’installation de logiciel malveillant si vous arrivez sur un site malveillant.
  • Si vous ne faites pas confiance à votre FAI, et que vous trouvez un serveur DNS alternatif en lequel vous avez confiance, configurez votre appareil pour utiliser cet autre serveur.
  • Utilisez le navigateur Brave ; ses capacités renforcées de blocage des annonces et des traqueurs fournissent une sécurité supplémentaire contre le masquage de CNAME.

Prêt à braver le nouvel Internet avec Brave ?

Brave a été conçu par une équipe de pionniers du Web axés sur les performances et la confidentialité. Aidez-nous à rendre la navigation meilleure.