Glossaire relatif à la confidentialité

DNS

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Qu’est-ce que le DNS ?

Le Domain Name System (DNS) est un protocole Internet qui permet à un navigateur et à un système d’exploitation de rechercher les adresses IP correspondant aux noms de domaine. Les adresses IP et les noms de domaine sont chacun un type d’identifiant pour les appareils sur Internet. Les adresses IP sont numériques (comme 203.0.113.43), tandis que les noms de domaine sont lisibles par l’homme (comme « example.com »). Le DNS n’est pas un site web, et vous n’avez pas besoin d’interagir directement avec lui lorsque vous utilisez Internet. Votre navigateur et votre système d’exploitation le gèrent automatiquement.

Pourquoi le DNS est-il nécessaire ?

Pour qu’un appareil puisse communiquer avec un autre sur un réseau comme Internet, il a besoin de l’adresse IP de l’autre appareil (adresse IP). Les adresses IP sont le seul type d’identifiant compris par les infrastructures réseau. Cependant, les gens ne peuvent pas facilement mémoriser les adresses IP.

Le DNS est la solution. Il permet aux gens d’utiliser des noms de domaine à la place, tandis que leurs appareils utilisent le DNS pour rechercher les adresses IP correspondantes.

La fonctionnalité du DNS est analogue à la liste de contacts sur votre téléphone. Pour appeler ou envoyer un texto à quelqu’un, vous avez besoin de son numéro de téléphone, mais les numéros de téléphone sont difficiles à mémoriser. La liste de contacts vous permet de stocker les noms et les numéros de téléphone ensemble, et de rechercher un nom pour trouver le numéro de cette personne.

Comment fonctionne le DNS ?

Lorsque vous visitez une URL comme example.com dans votre navigateur Web, votre navigateur doit d’abord rechercher « example.com » dans le DNS pour obtenir l’adresse IP du domaine. Ensuite, le navigateur peut contacter le serveur à cette adresse IP, lui demandant de renvoyer le contenu du site web d’exemple.com.

Fonctionnement du DNS Fonctionnement du DNS

Pour effectuer des recherches DNS, votre appareil doit connaître les adresses IP d’un ou plusieurs serveurs DNS. Lorsque vous connectez votre appareil à un réseau (comme votre Internet domestique, ou un Wi-Fi public), le réseau indique généralement automatiquement à votre appareil l’adresse d’un serveur DNS. Vous pouvez également spécifier manuellement quels serveurs DNS votre appareil utilise, bien que vous ne devriez pas avoir besoin de le faire.

Il n’y a pas d’entité unique responsable de la maintenance du DNS. De nombreuses entreprises différentes exploitent des serveurs DNS, comme les FAI, les bureaux d’enregistrement de domaines (les entreprises auprès desquelles vous pouvez acheter des noms de domaine), et certaines grandes entreprises technologiques comme Google.

Quels types d’enregistrements DNS existe-t-il ?

Le DNS contient un ensemble « d’enregistrements », chacun contenant des informations sur un nom de domaine. Il existe plusieurs types d’enregistrements différents.

  • Les enregistrements « A » contiennent une ou plusieurs adresses IPv4 qui correspondent à un nom de domaine. S’il y a plusieurs adresses IP, l’une d’elles peut être utilisée. Mettre plusieurs adresses IP dans un enregistrement A est une technique courante de « répartition de charge », qui répartit le travail d’hébergement d’un site web de manière uniforme entre plusieurs serveurs différents.
  • Les enregistrements « AAAA » sont comme les enregistrements A, mais pour les adresses IPv6 au lieu d’IPv4.
  • Les enregistrements « CNAME » contiennent un nom de domaine qui correspond à un autre nom de domaine. Par exemple, si un navigateur recherche « example.com », il peut obtenir un enregistrement CNAME qui dit « example.com correspond à example.net ». Dans ce cas, il vérifierait ensuite « example.net ». Cependant, vous verriez toujours « example.com » dans la barre d’adresse de votre navigateur.
  • Les enregistrements « MX » sont pour les e-mails. Lorsque vous envoyez un e-mail, votre fournisseur de messagerie vérifiera l’enregistrement MX pour le domaine qui suit le « @ » dans l’adresse e-mail de destination. L’enregistrement MX contient l’adresse IP où les e-mails pour ce domaine doivent être livrés.

Il existe de nombreux autres types d’enregistrements, mais les quatre listés ci-dessus sont les plus courants.

Le DNS est-il susceptible au piratage ?

Lorsque le DNS a été conçu initialement, l’Internet n’avait pas les mêmes menaces de sécurité que nous rencontrons aujourd’hui. En conséquence, le DNS à lui seul n’inclut pas de mesures de sécurité suffisantes, et est vulnérable à la manipulation ou au piratage. Les termes pour ces types d’attaques DNS incluent détournement, attaque par usurpation d’identité et empoisonnement de cache.

Chacune de ces méthodes redirige un utilisateur du site demandé vers un site choisi par l’attaquant. Les objectifs de ces attaques peuvent être des hameçonnage, rediriger pour placer des publicités ou collecter des données, ou même censurer du contenu. Quelques exemples courants de redirection sont :

  • Inscription ou paiement : Vous voyez cela lorsque vous vous connectez au Wi-Fi de l’hôtel, essayez de visiter example.com et vous êtes redirigé vers la page de l’hôtel vous demandant de vous inscrire ou de payer. Une fois ce processus de connexion terminé, vous êtes redirigé vers le site initialement demandé. Dans ce cas, le Wi-Fi de l’hôtel intercepte votre requête DNS et répond avec sa propre adresse IP plutôt que celle du site que vous demandez.
  • Censure : Un gouvernement ou une entreprise peut placer son propre serveur DNS sur le réseau pour contrôler les accès des citoyens ou des employés lorsqu’ils demandent certains sites. Un exemple de cela est le Grand pare-feu de Chine. Si vous êtes sur un réseau en Chine, vous dépendez de la table DNS de la Chine pour obtenir l’adresse IP demandée. Lorsque vous demandez un site censuré, vous ne recevez pas la bonne adresse IP et n’avez donc pas accès au site demandé.
  • Hameçonnage (phishing) : Un pirate peut, avec des identifiants volés, modifier un enregistrement DNS pour rediriger les utilisateurs vers un site imitateur dans le but de hameçonner des données personnelles et des informations de connexion, ou d’installer des logiciels malveillants.
  • Placement de publicités : Les FAI peuvent configurer leur table DNS locale pour envoyer des publicités ciblées aux utilisateurs.

Problèmes de confidentialité liés au DNS

En plus des menaces de sécurité liées aux différentes méthodes de redirection DNS, il y a aussi des problèmes généraux concernant la confidentialité et le DNS. Le serveur DNS utilisé par votre appareil peut voir quels noms de domaine votre appareil recherche, ce qui lui donne beaucoup d’informations sur les sites que vous visitez. Cela peut poser un problème de confidentialité si vous ne faites pas confiance à celui qui gère le serveur DNS, qui est souvent votre FAI. Pour atténuer ce problème, vous pouvez configurer votre appareil pour utiliser un serveur DNS alternatif; mais il vous faudra trouver un fournisseur de DNS de confiance.

Un autre problème est que la plupart des requêtes DNS ne sont pas chiffrées; cela signifie que si vous êtes sur un réseau Wi-Fi non sécurisé, quiconque sur le réseau peut voir quels noms de domaine votre appareil recherche. Une solution partielle est appelée « DNS sur HTTPS », qui utilise le chiffrement pour protéger le trafic DNS. La plupart des navigateurs principaux la prennent en charge, comme Brave, qui appelle cette fonctionnalité « DNS sécurisé » Vous pouvez l’activer dans les paramètres de Brave. Notez toutefois que cela ne protégera que les requêtes DNS résultant de votre navigation Web; les requêtes DNS des applications autres que votre navigateur peuvent encore ne pas être chiffrées.

Protections contre le piratage DNS

Les attaques DNS peuvent être très difficiles à détecter. Sans protections intégrées au DNS, il revient aux propriétaires de sites et aux utilisateurs de rester vigilants, et d’utiliser les outils disponibles pour se protéger.

Les propriétaires de sites peuvent prendre plusieurs mesures pour protéger les données de leur table DNS contre les attaques, notamment :

  • Utilisez un protocole appelé DNSSEC (pour « Domain Name Server Security Extensions ») pour ajouter une signature numérique à une entrée de table DNS ; cela permet de vérifier que l’enregistrement est authentique. Cette étape d’authentification peut aider les sites web à empêcher que leurs utilisateurs ne soient dirigés vers le mauvais site.
  • Surveillez le trafic du site pour détecter des changements soudains. Si le nombre de visites diminue brusquement ou significativement, cela peut indiquer que leurs enregistrements DNS ont été piratés d’une certaine manière et que les visiteurs potentiels sont redirigés.
  • Vérifiez périodiquement les entrées DNS pour vous assurer qu’elles n’ont pas été modifiées.

Il y a aussi des choses que vous pouvez faire pour éviter d’être dirigé vers le mauvais site web et pour vous protéger si vous êtes connecté à un contenu malveillant :

  • Utilisez un VPN, en particulier lorsque vous êtes connecté à un réseau Wi-Fi public. Cela peut protéger contre les attaques de type « man-in-the-middle » qui pourraient tenter d’intercepter le trafic entre vous et le serveur DNS.
  • Lorsque vous chargez un site web, vérifiez que c’est bien celui que vous souhaitiez. Même s’il semble correct, assurez-vous que l’adresse réelle du site web est correcte (par exemple « exemple.com » et non « exampel.com »). Vérifiez la barre d’adresse du navigateur pour « https:// » (et non « http:// »).
  • Maintenez tous les logiciels à jour, comme les logiciels antivirus. Cela peut aider à empêcher l’installation de logiciels malveillants si vous arrivez sur un site malveillant.
  • Utilisez DoH (DNS via HTTPS) ou DoT (DNS via TLS) pour chiffrer vos requêtes DNS. Le navigateur Brave dispose de la fonctionnalité DoH, appelée « DNS sécurisé », intégrée dans ses options de sécurité avancées (et peut, en fonction de votre FAI, activer cette fonctionnalité par défaut).
  • Si vous ne faites pas confiance à votre FAI, et que vous trouvez un serveur DNS alternatif en lequel vous avez confiance, configurez votre appareil pour utiliser cet autre serveur.
  • Utilisez le navigateur Brave ; ses capacités renforcées de blocage des annonces et des traqueurs fournissent une sécurité supplémentaire contre le masquage de CNAME.

Prêt à braver le nouvel Internet avec Brave ?

Brave a été conçu par une équipe de pionniers du Web axés sur les performances et la confidentialité. Aidez-nous à rendre la navigation meilleure.