Dans cet article, nous aborderons la sécurité DNS(nouvelle fenêtre), ce qu’elle signifie pour vos entreprises et comment l’utilisation de Proton VPN fournit à votre entreprise la sécurité DNS(nouvelle fenêtre) dont elle a besoin.

Le système de noms de domaine (DNS) traduit les noms de domaine conviviaux en adresses IP(nouvelle fenêtre) numériques que les ordinateurs utilisent pour identifier les sites internet et autres ressources internet. Il joue donc un rôle vital dans la façon dont nous utilisons tous internet, y compris pour le travail.

Malheureusement, le DNS a été inventé en 1983, bien avant que la nécessité de la sécurité en ligne ne soit envisagée. Par défaut, les requêtes DNS sont envoyées en texte brut afin que tout le monde puisse les voir, et sont facilement détournées pour rediriger vers des domaines malveillants. Cette situation est assez dangereuse pour les utilisateurs individuels d’internet, mais est potentiellement catastrophique dans un contexte professionnel.

Qu’est-ce que le DNS ?

Les ordinateurs identifient chaque appareil qui se connecte directement à internet avec une adresse IP numérique unique. L’ancien système IPv4 utilise des adresses à huit chiffres (telles que 185.159.159.140), mais celles-ci s’épuisent, de sorte que la nouvelle norme IPv6 utilise un système hexadécimal (contenant à la fois des chiffres et des lettres) pouvant comporter jusqu’à 45 caractères (tels que 2001:db8::8a2e:370:7334).

C’est très bien pour les ordinateurs, mais pas pour les humains, qui retiennent bien mieux les adresses à base de lettres (noms de domaine) qui ont du sens pour nous (comme protonvpn.com). Le DNS permet aux humains de saisir des noms de domaine que nous comprenons et les mappe aux adresses numériques que les ordinateurs comprennent. En substance, il se comporte comme un annuaire téléphonique qui croise les noms de domaine et les adresses IP.

Lorsque vous saisissez un nom de domaine (par exemple, dans la barre de recherche d’un navigateur), une requête DNS est envoyée à un serveur DNS qui résout la requête. C’est-à-dire qu’il traduit le nom de domaine en son adresse IP correspondante.

En savoir plus sur le fonctionnement du DNS(nouvelle fenêtre)

DNS et confidentialité pour les entreprises

Le DNS est utile mais crée un gros problème de sécurité : quiconque ayant accès aux requêtes DNS de votre entreprise connaît effectivement tout son historique de navigation, y compris celui de tous les membres du personnel qui utilisent un réseau de bureau pour se connecter à internet.

Le DNS et le FAI de votre entreprise

Par défaut, les requêtes DNS sont résolues par votre fournisseur d’accès internet(nouvelle fenêtre) (FAI). Malheureusement, les FAI ne sont pas là pour protéger le respect de la vie privée des particuliers ou des entreprises. La plupart des programmes d’espionnage de masse gouvernementaux s’appuient sur l’obligation faite aux FAI de conserver les journaux de l’historique de navigation de leurs clients. Et, comme c’est facile et bon marché, la plupart des FAI respectent ces obligations légales en ne conservant que les journaux DNS.

Dans certains pays (comme les États-Unis), les FAI sont même autorisés à utiliser ou vendre les enregistrements DNS des clients(nouvelle fenêtre) à des fins de publicité et d’analyse.

DNS et surveillance d’entreprise

La plupart des requêtes DNS sont envoyées au serveur DNS en texte brut, ce qui signifie que toute entité capable de les intercepter connaîtra tout l’historique de navigation de votre entreprise. Cela inclut les contacts de votre entreprise, ses associés, ses fournisseurs, ses clients, le gouvernement, les organismes de réglementation de la santé et de la sécurité avec lesquels elle interagit, et bien plus encore.

Toutes ces données sont des informations potentiellement très précieuses pour les concurrents.

DNS et sécurité pour les entreprises

En plus d’espionner passivement l’historique de navigation de votre entreprise, les pirates peuvent exploiter le DNS pour mener diverses attaques actives. Beaucoup d’entre elles visent le serveur DNS lui-même (généralement diverses formes d’attaque par déni de service(nouvelle fenêtre) visant à surcharger le serveur), mais à moins que votre entreprise ne gère ses propres serveurs DNS (ce que font certaines), de telles attaques ne constitueront probablement pas une menace pour votre activité.

Les attaques basées sur le DNS qui peuvent constituer une menace pour la plupart des entreprises incluent :

Usurpation DNS (spoofing)

Pour accélérer le processus de recherche et réduire la charge des serveurs DNS, les requêtes fréquentes sont souvent stockées (mises en cache) localement sur le serveur DNS. Pour effectuer une attaque par usurpation DNS (également connue sous le nom d’empoisonnement DNS), un attaquant insère de faux enregistrements DNS dans le cache du serveur DNS.

Cela peut être fait en utilisant une attaque de l’homme du milieu(nouvelle fenêtre) (interception de la requête entre l’appareil de l’utilisateur et le serveur DNS) ou via un empoisonnement du cache(nouvelle fenêtre) (exploitation de vulnérabilités dans le logiciel du serveur DNS pour injecter des entrées malveillantes dans son cache).

Une fois le cache DNS empoisonné, lorsqu’un utilisateur tente de visiter un site internet légitime, l’enregistrement DNS corrompu le redirige vers une adresse IP différente contrôlée par l’attaquant. Comme pour les attaques par hameçonnage, cela entraîne généralement le vol de mots de passe et d’informations de carte de paiement et/ou le téléchargement de logiciels malveillants sur les ordinateurs de votre entreprise.

Tunneling DNS

Souvent utilisé comme outil de surveillance d’entreprise pour contourner les pare-feu et autres mesures de sécurité visant à empêcher l’exfiltration (vol) de données sensibles, le tunneling DNS encode les données afin qu’elles puissent être transmises dans les requêtes et réponses DNS, utilisant ainsi l’infrastructure DNS comme canal de communication secret.

Il peut également être utilisé par des attaquants pour maintenir la communication avec des systèmes compromis, en envoyant des commandes et en recevant des résultats sans être détectés. Le tunneling DNS exploite le fait que le trafic DNS est souvent moins examiné par les appareils de sécurité que d’autres types de trafic, ce qui en fait une méthode efficace pour contourner les pare-feu et les filtres.

Solutions de sécurité DNS

La plupart des FAI ne mettent en œuvre aucune mesure de sécurité DNS (et n’ont généralement aucun intérêt à protéger le respect de la vie privée de votre entreprise). Cependant, les fournisseurs DNS tiers tels que Cloudflare 1.1.1.1, Quad9 et OpenNIC mettent beaucoup plus l’accent sur le respect de la vie privée et la sécurité. Cela inclut l’utilisation de technologies qui rendent le DNS beaucoup plus sécurisé.

DNS privé

Le DNS privé (également connu sous le nom de DNS chiffré) utilise les protocoles de sécurité DNS-over-TLS (DoT), DNS-over-HTTPS (DoH) ou DNSCrypt pour chiffrer les requêtes DNS entre l’appareil effectuant la requête et le serveur DNS.

Cela garantit que votre FAI (ou toute autre personne surveillant la connexion internet de votre entreprise) ne peut pas voir vos requêtes DNS.

En savoir plus sur le DNS privé(nouvelle fenêtre)

Le DNS privé est clairement une énorme amélioration par rapport à l’envoi de requêtes DNS en texte brut, bien qu’il ne soit pas aussi privé que l’utilisation d’un service VPN, qui chiffre non seulement vos requêtes DNS, mais aussi toutes les données sensibles de votre entreprise, empêchant ainsi complètement votre FAI de voir ce que fait votre entreprise en ligne. Il masque également votre véritable adresse IP aux sites internet visités par les membres de votre personnel.

DNSSEC

Les extensions de sécurité du système de nom de domaine (DNSSEC) sont une suite de spécifications conçues pour ajouter une couche de sécurité supplémentaire au DNS.

DNSSEC :

  • Garantit que les réponses aux requêtes DNS sont authentiques. Pour ce faire, il utilise des signatures numériques pour signer les données DNS, qui sont ensuite validées par le client. Cela permet de vérifier que les données n’ont pas été falsifiées et qu’elles proviennent bien de la source légitime.
  • Garantit que les données n’ont pas été altérées pendant le transit. Pour ce faire, il signe numériquement les données DNS, ce qui protège contre les attaques de l’homme du milieu et empêche quiconque de modifier les données. 

Comment Proton VPN peut protéger le DNS de votre entreprise

En plus de fournir des adresses IP de passerelle pour sécuriser les ressources de votre entreprise, Proton VPN for Business offre une sécurité DNS robuste :

  • Toutes les requêtes DNS sont envoyées via le tunnel VPN chiffré pour être résolues par nos propres serveurs DNS sécurisés (il n’est donc pas nécessaire de recourir à des solutions DNS privées)
  • Nous ne journalisons jamais vos requêtes DNS (ni quoi que ce soit d’autre, d’ailleurs)   
  • Notre fonctionnalité NetShield Ad-blocker est un filtre DNS qui bloque les requêtes DNS vers des domaines malveillants connus pour les publicités, les traqueurs et (en option, pour un meilleur contrôle) les logiciels malveillants 
  • Vos serveurs DNS utilisent DNSSEC pour authentifier les données DNS (sauf pour les domaines bloqués par NetShield, que nous ne résolvons de toute façon pas)
Obtenir Proton VPN for Business

Dernières réflexions : L’importance de la protection DNS pour les entreprises

La sécurité DNS est souvent négligée, mais devrait être une considération importante pour toute entreprise évaluant sa posture de sécurité. En effet, des attaques telles que le tunneling DNS existent précisément parce que l’on ne prend souvent pas assez de soin pour sécuriser les requêtes DNS des entreprises.

Avec Proton VPN for Business, vous pouvez être sûr que toutes les requêtes DNS sont chiffrées, qu’aucun journal DNS n’est conservé et que les résolutions DNS sont authentifiées à l’aide de DNSSEC.