Derrière ce titre abscons se cache un enjeu important : sécuriser les requêtes DNS, souvent oubliées de toutes les études de sécurité.
Un petit mot de la gestion des TLD
Un très intéressant article de mes amis de next.ink nous indique pourquoi des pirates et entreprises de cybersécurité scannent tout Internet (en IPv4). Très intéressant : le coût est faible (quelques centaines d’euros), ce qui explique que les scans sont fréquents.
Autre information très intéressante : la distinction entre gTLD et ccTLD. Et ça n’est pas d’une question de sigle, c’est aussi une question de droit et de régulation, qui n’est pas la même dans les deux cas.
« Les ccTLD sont de la juridiction des pays auquel ils sont rattachés. Les États sont souverains dans la gestion, avec une « non-ingérence de l’ICANN », contrairement aux gTLD. »
C’est quoi un nom de domaine, les différences entre ccTLD et (New) gTLD – Next
DoH ou DoT ?
Le principe est le même : ajouter une couche de chiffrement pour les requêtes DNS. Par contre, cela ne se fait pas de la même façon dans les deux cas, et ça change pas mal de choses en pratique.
DNS over TLS (DoT)
DoT consiste à ajouter du TLS sur DNS. En pratique, c’est un nouveau type de requête DNS passant par un port spécifique, le port 853, un peu comme TLS est ajouté à HTTP (avec un changement de port de 80 vers 443).
DNS over HTTPS (DoH)
Plus subtil, on utilise une requête HTTPS sur le port 443 pour faire la demande de résolution de nom. En gros, on fait un appel d’API, rien d’autre. Comme cela passe par un port connu (443), ouvert sur la plupart des réseaux, l’impact est moindre.
Utilité de TLS
Les requêtes DNS habituelles sont en clair. Elles peuvent à la fois être lues facilement et détournées tout aussi facilement. Avec une requête chiffrée, impossible d’écouter (simplement) ce qui transite, la confiance est alors reportée uniquement sur le resolveur (= le service qui répond à la requête DNS).
Cela ne résout donc pas tout, mais cela améliore la sécurité et la confidentialité des requêtes. N’oublions pas que quelqu’un qui connaît vos requêtes DNS saura sur quels sites vous allez, ce qui est souvent suffisant pour vous profiler. Et les cybercriminels ne pourront plus remplacer l’adresse IP de votre banque par celle de leur site frauduleux.