Filtrage DNS et filtrage Web : quelle est la différence ?

Les deux politiques de filtrage de contenu visent essentiellement à atteindre le même objectif de cybersécurité : protéger l’utilisateur (et son système) de tout contenu préjudiciable provenant de sites Web ou d’acteurs malveillants. Chaque forme de contrôle d’accès est conçue différemment pour exécuter des fonctions connexes, mais distinctes.

Le filtrage DNS est basé sur le système de noms de domaine (DNS) et vise à intercepter les sites Web potentiellement dangereux avant qu'ils ne soient consultés. Le filtrage Web implique des mesures de sécurité plus riches et plus développées qui non seulement détectent les sites malveillants, mais procèdent également à l’analyse de ces sites et de leurs méthodes. 

Avant d’aller plus loin, découvrons les types de contenu Web activement recherchés pour être exclus par les deux types de filtrage.

Autrefois, le terme « contenu inapproprié » désignait tout « contenu pour adultes », à savoir à caractère sexuel. Les tendances récentes ont vu ce terme générique couvrir un plus large éventail de contenus potentiellement offensants, notamment les sites véhiculant des discours de haine ou encore des idéologies violentes.

En outre, en partie en raison de l’utilisation massive des appareils photo intégrés aux mobiles et d’une multiplication sans précédent des réseaux sociaux, les séquences vidéo captées par les utilisateurs sont désormais prépondérantes en ligne. Très varié, ce type de contenu détaille parfois des scènes violentes et des agissements illicites. Tout contenu de ce type peut être considéré comme inapproprié, bien que ce terme subjectif reste ouvert à une certaine interprétation.

Nous passons maintenant à un contenu plus purement sinistre. Il peut ou non contenir des images offensantes, mais probablement pas, car il est plus efficace qu’il paraisse parfaitement normal, comme un cheval de Troie proverbial. Ainsi, les utilisateurs ne soupçonnent probablement pas qu’il contient autre chose qu’un contenu ordinaire.

Cependant, cette apparente normalité peut dissimuler un large éventail de cyberattaques, y compris l'introduction de logiciels malveillants dans un système afin de compromettre la sécurité du réseau. Ce type de menace devient particulièrement critique lorsqu’il implique l’utilisation d’un rançongiciel conçu pour prendre en otage les systèmes des utilisateurs jusqu’à l’obtention d’un paiement. Le contenu malveillant peut également dissimuler des attaques par hameçonnage visant à obtenir des données confidentielles.

La troisième catégorie de contenu web nécessitant un filtrage concerne les contenus qui ne sont ni obscènes ni provocateurs, et qui ne sont pas nécessairement préjudiciables à la solution de sécurité d’une entreprise. Il s’agit de contenus indésirables, et ce pour diverses raisons.

S’il est vrai que le terme « indésirable » s’applique également aux contenus inappropriés et préjudiciables, nous parlons ici de sites proposant des contenus improductifs. Les sites de réseaux sociaux et les salons de discussion non modérés entrent dans cette catégorie, tout comme ceux diffusant des vidéos en streaming. Elle inclut également des sites web spécifiques qui utilisent des redirections pour conduire l’utilisateur vers d’autres sites, ou qui bombardent le visiteur de séquences publicitaires sans fin. 

Le filtrage DNS détecte les requêtes DNS potentiellement dangereuses avant qu’elles ne puissent être exécutées et associées à des adresses IP. La séquence se déroule comme suit : 

1. Un utilisateur initie le processus en demandant l’accès à un certain site Web.
2. En réponse à de telles requêtes DNS, le système de l’utilisateur émet une requête DNS pour convertir le nom de domaine (exemple : ibm.com) en adresse IP.
3. Les services de filtrage DNS entrent en scène. Un filtre DNS compare le domaine demandé à une « liste noire » de sites Web potentiellement dangereux.
4. Si le domaine demandé ne figure pas sur cette liste, la requête est acceptée et le système accède au site Web en question.
5. Si le site Web demandé figure sur la liste noire, le filtrage DNS y bloque alors l’accès et empêche les serveurs DNS d’utiliser l’adresse IP.

Il est important de noter que lorsqu’un domaine est bloqué par une solution de filtrage DNS, ce blocage concerne toutes ses pages Web, et non seulement celles qui sont potentiellement dangereuses. Du point de vue de la sécurité, le filtrage DNS permet d’éviter l’infiltration de sites Web d’hameçonnage et de domaines malveillants.

Le processus de filtrage Web est un peu différent du filtrage DNS. C’est un outil plus précis que le filtrage DNS et il offre une plus grande profondeur analytique. Cependant, il n’a pas le caractère préemptif du filtrage DNS, et c’est une différence majeure entre les deux. Les étapes de filtrage Web sont relativement simples : 

1. Les filtres Web examinent le trafic Web qui est déjà acheminé vers le navigateur du système et qui est en cours de chargement.
2. Les filtres Web permettent à l’utilisateur de bloquer certaines URL, certaines parties d’un site Web, voire des catégories entières de sites Web.
3. Les administrateurs réseau utilisent le contrôle granulaire précis offert par le filtrage Web pour personnaliser l’accès. Cette méthode couvre tout, du moment où il faut bloquer des pages jusqu’à la sélection des parties du site qui peuvent être chargées. 

Un aspect clé du processus de filtrage Web est géré par le protocole Secure Sockets Layer (SSL), une solution de sécurité qui crée une liaison chiffrée et sécurisée entre un serveur Web et un navigateur Web. 

Il existe des points communs notables entre le filtrage DNS et le filtrage Web :

• Les méthodes de filtrage Web et les solutions de filtrage DNS utilisent des pare-feux, mais de manière différente. Le filtrage Web utilise des pare-feux nouvelle génération (NGFW) pour évaluer le trafic Web au niveau de la couche applicative et bloquer les sites inappropriés ou malveillants. Le filtrage DNS, quant à lui, utilise un type particulier de pare-feu DNS, qui fonctionne avec d’autres mesures de sécurité opérant au niveau DNS.

• En termes de protection antivirus, il n’y a pas de solution prédominante dans le filtrage DNS. Les entreprises ont tendance à opter plutôt pour l’un des nombreux services de filtrage DNS spécialisés et personnalisés tels que Cloudflare Gateway, Cisco Umbrella et Control D. De même, il existe une profusion de solutions antivirus et de sécurité des points de terminaison conçues spécialement pour le filtrage Web, comme Microsoft Defender, Norton et McAfee.

• Le filtrage DNS et le filtrage Web utilisent tous deux une solution de sécurité appelée Secure Web Gateway (SWG). Dans le filtrage DNS, cette passerelle Web sécurisée (SWG) fonctionne comme une couche de protection. L’une des fonctionnalités SWG les plus courantes est le filtrage des URL, qui permet aux administrateurs d’examiner et d’évaluer les adresses Web dans leur intégralité. Les solutions SWG exécutent un filtrage Web complet en vérifiant de près tout le trafic Internet et en installant le blocage de pages si nécessaire.

• Les réseaux privés virtuels (VPN) fonctionnent avec les systèmes de filtrage Web pour fournir une connexion chiffrée capable de contourner les restrictions qui régissent les réseaux locaux. Le filtrage DNS empêche généralement l’accès à certains sites Web au niveau du DNS. Si les VPN contournent généralement le filtrage DNS, de nombreux fournisseurs de VPN proposent leurs propres schémas de filtrage DNS, qui sont intégrés à ces services.