Qu'est-ce que la sécurité DNS ?

La sécurité DNS tient à distance les « acteurs malveillants » et leurs domaines en appliquant des méthodes de chiffrement, d’authentification et de renseignement sur les menaces.

Pourquoi la sécurité DNS est-elle nécessaire ? En grande partie en raison du rôle central et clé que les services DNS jouent dans la communication moderne. Le DNS sert d’« annuaire téléphonique » (ou de répertoire) de l’Internet, ce qui permet d’associer requêtes de domaine et adresses IP.

Pour bien comprendre à quel point cette activité est essentielle, il suffit de considérer un instant le nombre de fois où vous êtes susceptible d’avoir besoin de ces services au cours d’une journée moyenne. Multipliez maintenant ce chiffre pour représenter des semaines, des mois et des années, et vous verrez clairement à quel point cette activité est une composante constante et continue de l’informatique moderne.

Le DNS est également une activité riche en adresses IP, qui constituent des données potentiellement précieuses et sensibles. En outre, la technologie de la couche DNS présente plusieurs vulnérabilités qui l’exposent à diverses formes de cyberattaques.

Les acteurs malveillants (également appelés acteurs de la menace) sont des entités qui ont les moyens de lancer des cyberattaques ou d’autres actions préjudiciables. Mais qui sont ces individus ou groupes ? De nos jours, les possibilités ne manquent pas :

• Pirates informatiques espérant récolter de lourdes rançons auprès de leurs victimes.

• Les factions politiques qui ont une rancune à exprimer.

• Perturbateurs sans motif idéologique apparent.

• Des activités terroristes parrainées par l’État provenant de nations voyous.

Ce qui est vraiment inquiétant à propos de tous ces contrevenants potentiels, c’est la manière dont ils parviennent à dissimuler leur propre identité tout en violant sans relâche celle des autres.

Les attaques peuvent provenir de n’importe où les fournisseurs de services proposent du Wi-Fi, qu’il s’agisse de personnes travaillant dans un sous-sol résidentiel de votre rue ou de groupes de cybercriminels organisés opérant dans des lieux cachés à travers le monde. Cette capacité de masquage supérieure leur offre une couverture suffisante pour éviter la détection, leur permettant de continuer à mettre en œuvre leurs stratagèmes malveillants.

La sécurité DNS s’articule autour de quatre processus de cybersécurité indépendants.

Une sécurité renforcée et une confidentialité accrue sont les principaux avantages liés à l’application des principes fondamentaux de la sécurité DNS, tels qu’ils se manifestent de la manière suivante.

Les attaques par déni de service distribué (DDoS) sont conçues pour perturber le flux normal du trafic DNS. En inondant la cible de trafic web, le système visé finit par s’engorger complètement.

Imaginez être complètement débordé, comme si vous dirigiez un petit restaurant en bord de route et que soudainement des milliers de clients affamés se pressaient, tous exigeant d’être servis immédiatement. Les attaques DDoS fonctionnent de la même manière, par la force du nombre.

Il existe également des attaques par amplification DNS, qui compromettent la sécurité du réseau en utilisant des serveurs DNS ouverts et disponibles pour amplifier le trafic, dans le but de submerger un service Internet ou un domaine ciblé. (On parle de botnet lorsque de nombreux ordinateurs compromis sont utilisés de cette façon.) Les attaques par amplification utilisent une adresse IP source usurpée (appartenant à la victime visée) pour diriger d’importantes quantités de trafic réseau indésirable vers cette victime.

La sécurité DNS contrecarre les attaques DDoS de multiples façons. Tout d’abord, la sécurité DNS impose l’utilisation de signatures numériques avant d’accepter les transferts de données DNS. Elle utilise également la détection d’anomalies pour repérer les menaces DNS spécifiques en s’appuyant sur des algorithmes alimentés par l’IA.

Une autre méthode, la limitation du débit, restreint le nombre de requêtes DNS qu’un même client peut effectuer en fonction du temps écoulé. La validation des zones DNS exige que seuls les enregistrements confirmés et valides soient autorisés à rejoindre le flux de trafic DNS régulier.

Pour établir un DNS véritablement sécurisé, il est essentiel qu’il s’aligne sur le principe de cybersécurité Zero Trust, selon lequel il ne faut « jamais faire confiance, toujours vérifier ». Cela signifie qu’aucune ressource (aussi insignifiante qu’elle puisse paraître) n’est accessible sans que l’identité du demandeur ait d’abord été vérifiée puis autorisée.

Les entreprises qui adoptent pleinement l'idée de la sécurité Zero Trust partagent des points communs notables, comme indiqué dans un rapport sur la sécurité Zero Trust publié par l'Institute for Business Value d'IBM. Ce rapport présente les « pionniers Zero Trust » et décrit les mesures spécifiques qu’environ 23 % des entreprises mettent en œuvre pour tirer pleinement parti des principes pratiques de ce modèle de sécurité.

Les résolveurs DNS jouent un rôle clé dans la mise en œuvre des principes Zero Trust. Les résolveurs agissent comme des intermédiaires. Lorsqu’un utilisateur demande à accéder à un site web, le résolveur DNS traite cette requête. Il analyse ensuite l’ensemble de l’infrastructure DNS et examine les serveurs afin d’identifier la bonne adresse IP.

Si le système DNS ne trouve pas cette adresse IP, les résolveurs DNS se tournent vers des serveurs de noms faisant autorité à l’extérieur du système. Ces serveurs de noms fournissent le « dernier mot » sur l’adresse IP recherchée en renvoyant une adresse IP confirmée. Le résolveur DNS récursif stocke ensuite cette adresse IP dans le cache afin de la conserver et d’y accéder rapidement lors d’une utilisation ultérieure.

La sécurité DNS s’appuie sur de nombreux services et outils de sécurité. Les systèmes de détection des menaces alimentés par l’IA offrent une automatisation. Il en va de même pour les résolveurs DNS et les autres solutions de sécurité qui tirent parti du machine learning et des flux de renseignements sur les menaces.

Non seulement ces systèmes et solutions automatisent les processus nécessaires, mais ils contrôlent également de manière proactive le trafic DNS en temps réel. Le DNSSEC contribue également à automatiser les processus de sécurité en protégeant les protocoles Internet contre les attaques par détournement de DNS, hameçonnage et tunnellisation, des cyberattaques susceptibles de perturber gravement le trafic DNS et de nuire à l’expérience utilisateur.

En outre, la sécurité DNS aide à protéger les objets dotés de fonctionnalités de l’Internet des objets (IdO). La sécurité DNS protège les environnements IdO de plusieurs façons, par exemple en empêchant les appareils IdO d’interagir avec les serveurs de commande et de contrôle et d’être recrutés comme nouveaux éléments de botnets.

Maintenir la cybersécurité est un travail à plein temps, étant donné que les attaques DNS sophistiquées et évolutives conservent une grande capacité d’adaptation. Les types de solutions de sécurité DNS suivants sont principalement utilisés pour contrer ces attaques et renforcer la cybersécurité :

• Pare-feu DNS : chaque fois qu’une requête DNS est générée, elle est arrêtée par des pare-feux de sécurité qui l’évaluent par rapport aux listes d’adresses IP associées à des sites Web et des domaines malveillants. Les pare-feux offrent également une protection contre le hameçonnage et les attaques par logiciel malveillant.

• Détection de la tunnellisation DNS : les tentatives de tunnellisation DNS incluent l’exfiltration de données, où des acteurs malveillants repèrent des informations confidentielles et sensibles et les extraient d’un réseau ou d’un système en les déguisant en données légitimes. Un autre type d’attaque consiste en la communication de commande et de contrôle, qui facilite la mise en œuvre d’un détournement DNS.

• Services DNS de protection : ces services permettent une gestion proactive de la protection contre les menaces, maintenant les sites web nuisibles à distance. Ils y parviennent en évaluant les requêtes DNS par rapport aux flux de menaces et aux politiques établies.