Guide de sécurité DNS

La sécurité des DNS doit être considérée comme un point incontournable de tout plan de sécurité d’une entreprise. Les services de résolution des noms, qui traduisent les noms d’hôtes en...
Michael Buckbee
7 minute de lecture
Dernière mise à jour 6 octobre 2023

La sécurité des DNS doit être considérée comme un point incontournable de tout plan de sécurité d’une entreprise. Les services de résolution des noms, qui traduisent les noms d’hôtes en adresses IP, sont en effet utilisés par la quasi-totalité des applications et services d’un réseau.

 Si un attaquant parvenait à prendre le contrôle des DNS d’une organisation, il n’aurait ainsi aucun mal à :

    • prendre définitivement le contrôle du domaine public ;
  • détourner les e-mails entrants, les requêtes Web et les tentatives d’authentification ;
  • générer et approuver des certificats SSL/TLS sans que l’organisation puisse y faire quoi que ce soit.

Ce guide s’intéresse à la sécurité des DNS sur deux plans :

  1. Le maintien de la propriété des DNS et de leur contrôle
  2. La manière dont les nouveaux protocoles DNS comme DNSSEC, DOH et DoT peuvent contribuer à préserver l’intégrité et la confidentialité des requêtes DNS en transit

Qu’est-ce que la sécurité des DNS ?

illustration of DNS activities and security
[Image : La sécurité des DNS doit être considérée comme un point incontournable de tout plan de sécurité d’une entreprise. Les services de résolution des noms, qui traduisent les noms d’hôtes en adresses IP, sont en effet utilisés par la quasi-totalité des applications et services d’un réseau.]
La sécurité des DNS comprend deux facettes :

  1. Le maintien de la propriété de vos services DNS (traduction des noms d’hôtes en adresses IP) et de leur contrôle
  2. La surveillance de l’activité des DNS pour repérer les éventuels problèmes de sécurité pouvant survenir à un autre endroit de votre réseau

Téléchargez un Livre-Blanc sur l'analyse de la sécurité

"Les organisations ne parviennent pas à détecter les piratages dans des délais rapides, avec moins de 20 % des vols de données détectés en interne. - Gartner"

Pourquoi les DNS sont-ils vulnérables aux attaques ?

Les DNS ont été créés lors de l’avènement d’Internet, bien avant que quiconque se soit penché sur l’intérêt de bonnes pratiques de sécurité. Ils fonctionnent sans système d’authentification et de chiffrement, et répondent aveuglément à toutes les requêtes, quel que soit le client.

Cette caractéristique explique pourquoi il existe de nombreuses méthodes d’usurpation, de manipulation et de falsification permettant de tromper les clients quant au système sur lequel intervient réellement la résolution des noms.

Considérations relatives à la sécurité des DNS et composants

illustrations of secure DNS
[Image : Composants de sécurisation des DNS ; Sécurité des systèmes et contrôles ; Amélioration des protocoles ; Analyses et rapport ; Informations sur la sécurité et les menaces ; Automatisation]
La sécurité des DNS impose de prendre plusieurs mesures complémentaires pour garantir une protection globale efficace.

  • Sécurité des systèmes et contrôles : renforcez les serveurs et créez un modèle de mise en service par défaut.
  • Amélioration des protocoles : déployez les protocoles DNSSEC, DoT ou DoH.
  • Analyses et rapports : transférez les journaux d’événements des DNS à une solution SIEM pour obtenir du contexte lors des enquêtes de sécurité.
  • Informations sur la sécurité et les menaces : souscrivez à un flux d’informations sur les menaces fournissant des indicateurs exploitables.
  • Automatisation : créez autant de scripts que possible pour pleinement exploiter le temps dédié à la sécurité.

Les mesures générales ci-dessus ne constituent qu’une infime partie des activités nécessaires à la sécurité des DNS. Dans la section suivante, nous allons étudier plus en détail des scénarios et bonnes pratiques que vous devez connaître.

Attaques DNS

illustrations of different types of DNS attacks
[Image : Attaques DNS courantes ; Usurpation de DNS/empoisonnement du cache ; DNS Tunneling ; Attaque par saturation des domaines ; Manipulation de l’espace des noms de domaine ; Attaque par domaines fantômes ; Attaque CPE par un botnet ; Attaque NXDOMAIN ; Attaque de sous-domaines aléatoires]
  • Usurpation de DNS/empoisonnement du cache : attaque consistant à tirer parti d’une vulnérabilité du système pour prendre le contrôle du cache d’un DNS afin de rediriger les utilisateurs vers une autre destination que celle demandée.
  • DNS Tunneling : méthode principalement utilisée pour contourner les contrôles de sécurité réseau régissant les connexions à distance.
  • Manipulation de l’espace des noms de domaine : redirection du trafic DNS standard mise en place en demandant au registraire de nom de domaine de procéder à une redirection vers un autre serveur DNS.
  • Attaque NXDOMAIN : processus consistant à lancer une attaque par déni de service contre un serveur DNS faisant autorité à l’aide de requêtes de domaines non légitimes pour forcer une réponse.
  • Attaque par domaines fantômes : action consistant à forcer le résolveur du DNS à attendre une réponse de domaines qui n’existent pas, ce qui entraîne une dégradation des performances.
  • Attaque par sous-domaines aléatoires : des hôtes compromis et des botnets attaquent un domaine légitime par déni de service, mais concentrent leur action sur de faux sous-domaines pour forcer des recherches d’enregistrements DNS et surcharger le service.
  • Attaque par saturation des domaines : action consistant à multiplier les réponses non valides pour monopoliser les résolveurs et engorger les ressources.
  • Attaque CPE par un botnet : ensemble d’ordinateurs, de modems, de routeurs, etc. utilisés pour concentrer une grande puissance de calcul sur un site Web ou une ressource spécifique et la submerger de demandes de trafic.

Attaques exploitant les DNS

Ces attaques utilisent les DNS d’une manière ou d’une autre pour s’en prendre à d’autres systèmes (la modification des entrées DNS n’est pas le but ultime de l’attaquant).

Attaques sur les DNS

Attaques aboutissant au renvoi par un serveur DNS de l’adresse IP voulue par l’attaquant et non de celle prévue par les administrateurs légitimes du serveur.

  • Usurpation des DNS/empoisonnement de cache
  • DNS Hijacking

Qu’est-ce que le protocole DNSSEC ?

illustration of DNSSEC
[Image : Le protocole DNSSEC (Domain Name System Security Extensions) peut être utilisé pour confirmer que les résultats d’une demande de nom de domaine proviennent d’une source valide.]
Le protocole DNSSEC (Domain Name System Security Extensions) est utilisé pour confirmer des enregistrements DNS sans connaître les caractéristiques de chaque requête DNS effectuée.

Il utilise des paires de clés de signature numérique pour confirmer si la réponse à une requête DNS provient ou non de la source appropriée.

La mise en œuvre de ce protocole est une bonne pratique sectorielle exigée par le NIST, mais il s’agit aussi d’un moyen efficace de compenser la naïveté du fonctionnement des DNS et d’éviter la plupart des attaques susceptibles de les concerner.

Fonctionnement du protocole DNSSEC

Le fonctionnement du protocole DNSSEC est similaire à celui de TLS/HTTPS. Il utilise des paires de clés publique/privée pour signer numériquement les enregistrements DNS. Voici une présentation très générale du processus :

  1. Les enregistrements DNS sont signés à l’aide de la paire de clés privée/publique.
  2. Les réponses à la requête DNSSEC contiennent l’enregistrement demandé, ainsi que la signature et la clé publique.
  3. La clé publique est ensuite utilisée pour comparer l’enregistrement et la signature afin d’en établir l’authenticité.

Sécurité des DNS avec DNSSEC

illustration of a lock depicting DNS security
[Image : Le protocole DNSSEC peut être assimilé au verrou de votre porte d’entrée ou à des autocollants annonçant la présence d’un système de surveillance, collés sur vos fenêtres pour éloigner les rôdeurs. La sécurité des DNS reste l’axe central du système de sécurité de votre maison.]
Le protocole DNSSEC est un contrôle de sécurité qui confirme l’intégrité des requêtes DNS, mais il n’a aucun impact sur la confidentialité des DNS. Dit autrement, DNSSEC peut vous permettre de vous assurer que la réponse à votre requête DNS est bien celle attendue, mais un attaquant pourrait quand même consulter cette réponse.

DNS Over TLS

Transport Layer Security est un algorithme de chiffrement conçu pour sécuriser des informations pendant leur transmission via une connexion réseau. Une fois qu’une connexion TLS sécurisée est établie entre un client et un serveur, aucun intermédiaire ne peut consulter les données transmises, car elles sont chiffrées.

TLS est le plus souvent utilisé dans le cadre du protocole HTTPS (« SSL ») dans votre navigateur Web, lorsque des requêtes sont envoyées à des serveurs HTTP sécurisés.

DNS Over TLS (DoT) utilise TLS pour chiffrer le trafic UDP des requêtes DNS classiques.

Le chiffrement de ces requêtes habituellement transmises en texte clair contribue à protéger les utilisateurs ou applications effectuant des requêtes de différentes attaques.

  • Attaque de l’homme du milieu : sans chiffrement, un système intermédiaire placé entre le client et le serveur DNS faisant autorité pourrait potentiellement répondre au client en lui envoyant des informations fausses ou susceptibles de créer des dégâts.
  • Espionnage et suivi : sans chiffrement des requêtes, il est très simple pour des systèmes intermédiaires de voir à quels sites un utilisateur ou une application accède. Bien qu’on ne puisse déduire directement la page précise consultée à partir du serveur DNS, le simple fait de connaître les domaines demandés est suffisant pour établir un profil du système ou de la personne.
Illustration of DNS Over TLS
Source: University of California Irvine

DNS Over HTTPS

DNS over HTTPS (DoH) est un protocole expérimental promu par Mozilla et Google. Son objectif est très proche de celui de DoT : renforcer la confidentialité des internautes en chiffrant les requêtes et réponses DNS.

Les requêtes DNS standard sont transmises via UDP, et les demandes et réponses peuvent être visualisées à l’aide d’outils tels que Wireshark. Le protocole DoT chiffre certes ces requêtes, mais elles restent néanmoins identifiables, car elles représentent du trafic UDP particulier sur le réseau.

Le protocole DoH adopte une approche différente en transmettant les demandes de résolution DNS chiffrées via des connexions HTTPS qui ressemblent ainsi à n’importe quelle autre demande Web.

Cette différence a des conséquences importantes pour les administrateurs système et l’avenir de la résolution des noms.

  1. Le filtrage DNS constitue en effet un moyen fréquemment utilisé pour filtrer le trafic Web et protéger les utilisateurs du réseau de l’entreprise des attaques de phishing, des sites de distribution de malwares ou d’autres activités Internet potentiellement dangereuses. DoH contourne ces filtres et expose ainsi potentiellement utilisateurs et réseaux à un risque plus élevé.
  2. Selon le modèle actuel de résolution des noms, chaque appareil d’un réseau reçoit majoritairement les requêtes DNS d’un seul et même endroit (un serveur DNS défini). DoH et plus particulièrement l’implémentation qui en est faite dans Firefox, montrent que ce paradigme risque de changer. Chaque application d’un ordinateur pourrait interroger une source DNS différente, ce qui complexifie la résolution des problèmes, la sécurisation et la modélisation du risque.
example of using secure DNS lookup
Source: How to enable DoH in Google

Quelle est la différence entre les protocoles DNS over TLS et DNS over HTTPS ?

Commençons par DNS over TLS (DoT). La principale caractéristique de cette solution réside dans le fait que le protocole DNS d’origine n’est pas modifié : les informations sont simplement transmises via un canal sécurisé. A contrario, DoH encapsule le trafic DNS au format HTTP avant que les requêtes ne soient effectuées.

Alertes de surveillance DNS

illustration of DNS alerts
[Image : La surveillance des évolutions dans les modifications des DNS, de la localisation des comptes, des premières utilisations, des accès aux données sensibles et des activités au-delà des heures ouvrables est essentielle pour détecter les violations de manière précoce.]
La capacité à détecter les anomalies dans le trafic DNS de votre périmètre joue un rôle clé pour détecter les violations de manière précoce. L’utilisation d’un outil comme Varonis Edge vous permet de générer des alertes en fonction d’indicateurs intelligents et de créer des profils pour chaque compte de votre réseau. Ces alertes peuvent être émises après une combinaison d’actions réalisées sur une période déterminée, calculée à partir du résultat des violations commises dans divers secteurs, partout dans le monde.

La surveillance des évolutions dans les modifications des DNS, de la localisation des comptes, des premières utilisations, des accès aux données sensibles et des activités au-delà des heures ouvrables donne des indicateurs pouvant être mis en corrélation pour disposer d’une vision plus large.

Que dois-je faire maintenant ?

Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

1

Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

2

Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

3

Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

Essayez Varonis gratuitement.

Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
Se déploie en quelques minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

outils-siem-:-varonis-est-la-solution-qui-exploite-au-mieux-votre-gestion-des-événements-et-informations-de-sécurité
Outils SIEM : Varonis est la solution qui exploite au mieux votre gestion des événements et informations de sécurité
Les applications de gestion des événements et informations de sécurité (SIEM) sont un pan important de votre écosystème de sécurité des données : elles agrègent les données de plusieurs systèmes, normalisent...
qu’est-ce-que-la-segmentation-réseau-?
Qu’est-ce que la segmentation réseau ?
La segmentation réseau consiste à diviser un réseau informatique en composants physiques ou logiques afin de renforcer la sécurité et de protéger les données.
qu’est-ce-que-le-dns,-comment-fonctionne-t-il-et-quelles-sont-ses-vulnérabilités-?
Qu’est-ce que le DNS, comment fonctionne-t-il et quelles sont ses vulnérabilités ?
Le Domain Name System (Système de noms de domaine – DNS) est la version Internet des Pages jaunes. Dans le bon vieux temps, lorsque vous aviez besoin de trouver l’adresse d’une...
attaque-kerberos-:-comment-lutter-contre-un-golden-ticket-?
Attaque Kerberos : comment lutter contre un Golden Ticket ?
L’attaque Golden Ticket, découverte par le chercheur en sécurité Benjamin Delpy, donne au hacker un accès total et complet à l’intégralité de votre domaine. Il s’agit d’un Golden Ticket (« ticket d’or »,...