DNS et TLS (DoH et DoT)

Dernière mise à jour : 20/05/2020

Derrière ce titre abscons se cache un enjeu important : sécuriser les requêtes DNS, souvent oubliées de toutes les études de sécurité.

DoH ou DoT ?

Le principe est le même : ajouter une couche de chiffrement pour les requêtes DNS. Par contre, cela ne se fait pas de la même façon dans les deux cas, et ça change pas mal de choses en pratique.

DNS over TLS (DoT)

DoT consiste à ajouter du TLS sur DNS. En pratique, c’est un nouveau type de requête DNS passant par un port spécifique, le port 853, un peu comme TLS est ajouté à HTTP (avec un changement de port de 80 vers 443).

DNS over HTTPS (DoH)

Plus subtil, on utilise une requête HTTPS sur le port 443 pour faire la demande de résolution de nom. En gros, on fait un appel d’API, rien d’autre. Comme cela passe par un port connu (443), ouvert sur la plupart des réseaux, l’impact est moindre.

Utilité de TLS

Les requêtes DNS habituelles sont en clair. Elles peuvent à la fois être lues facilement et détournées tout aussi facilement. Avec une requête chiffrée, impossible d’écouter (simplement) ce qui transite, la confiance est alors reportée uniquement sur le resolveur (= le service qui répond à la requête DNS).

Cela ne résout donc pas tout, mais cela améliore la sécurité et la confidentialité des requêtes. N’oublions pas que quelqu’un qui connaît vos requêtes DNS saura sur quels sites vous allez, ce qui est souvent suffisant pour vous profiler. Et les cybercriminels ne pourront plus remplacer l’adresse IP de votre banque par celle de leur site frauduleux.

Sources

Voir https://www.nextinpact.com/news/108780-quest-ce-que-dns-over-https-doh-quest-ce-que-cela-peut-vous-apporter.htm