Bien choisir son TLD en fonction des performances DNS

Analyse comparative des domaines de premier niveau, les fameux Top Level Domains (.com, .fr…)

Le nerf de la guerre des sites web à forte visibilité est le temps de téléchargement. Facteur de référencement naturel admis par Google, ce temps de téléchargement peut être impacté significativement lors de la résolution DNS. S’il convient de s’appuyer sur une infrastructure DNS de premier ordre, le choix de l’extension associée à un nom de domaine a son importance. En effet, les registres ne sont pas tous aussi performants les uns que les autres en matière de DNS, pour ne pas dire que certains affichent des performances décevantes. L’offre en matière de TLD (près de 1400) a largement augmenté depuis le programme des nouvelles extensions de l’ICANN. Analyse à suivre.

Petit retour sur le temps de résolution DNS et son impact sur le temps de chargement

La résolution d’un domaine tel que nameshield.net suit plusieurs étapes avant de pouvoir contacter le serveur de contenu. Le résolveur DNS contacte les serveurs DNS racines (.), puis les serveurs DNS du registre de l’extension concernée (.net) afin d’obtenir la liste des serveurs DNS responsables du domaine, et enfin ces serveurs DNS pour obtenir la réponse demandée. La réponse obtenue est certes mise en cache par le DNS résolveur (généralement géré par le FAI), mais ce ne sera pas toujours le cas en fonction de la popularité de votre domaine.

Cela signifie que si le DNS du domaine de premier niveau (.net) est lent, il peut en fait retarder la résolution DNS pour le domaine lui-même et, dans le pire des cas très improbable, même provoquer une panne. Vous ne pouvez pas y faire grand-chose à part bien choisir le fameux TLD.

Hiérachie DNS - Choisir son TLD en fonction des performances DNS - Nameshield

Analyse comparative

Bunny CDN, un acteur slovène de la livraison de contenu a mené la surprenante analyse suivante. S’appuyant sur leur réseau mondial, ils ont surveillé les performances DNS dans le monde entier à partir de plus de 50 sites et réseaux.

Pour chaque domaine de premier niveau, leur système a choisi un serveur de noms aléatoire publié pour chacun des domaines de premier niveau et a interrogé un nom de domaine également aléatoire. Les résultats ont été groupés par région et les données enregistrées toutes les 10 secondes.

Résultats

Ils ont testé 42 des domaines de premier niveau les plus populaires, puis agrégé les résultats en une moyenne médiane mondiale et une agrégation à 85 centiles (les 15% de réponses les plus lentes n’ont pas été prises en compte). Ces tests ont été effectués uniquement à partir de leur réseau, une étude plus complète mériterait certainement d’être menée, mais ils offrent un bon aperçu général.

TLD - DNS resolution time - Choisir son TLD en fonction des performances DNS
Source : BunnyCDN

Des résultats ont été assez surprenants

Les domaines les plus étonnants concernent les .info et .org qui ont montré des performances vraiment médiocres, en particulier dans la plage de 85 centiles, et ce malgré leur ancienneté et les millions de domaines enregistrés. Il semble que 4 des 6 serveurs de noms fonctionnent extrêmement mal, ce qui explique les mauvais résultats.

Le .net et le .com ont été très légèrement plus lents qu’attendu en Europe et en Amérique du Nord, mais offrent par ailleurs des performances excellentes et stables dans toutes les régions, visibles dans la médiane mondiale. Le .net et le .com ont des réseaux beaucoup plus grands, mais restent un choix très intéressant pour obtenir les performances maximales absolues.

Moins attendue, la performance des TLD .co, .biz et .in, bien en avance sur les autres.

Certains nouveaux domaines (.online, .top, .blog…) attirants sur le plan marketing et en forte croissance, montrent des performances décevantes…

… à l’inverse de très bonnes surprises pour .live, .email, .news, gérés par Donuts Inc ou encore .club et .buzz gérés par Neustar Inc, avec cependant une très forte baisse des performances dans des régions en dehors de l’Europe et de l’Amérique du Nord, ce qui aggrave encore le problème.

42 TLD parmi les plus populaires des 1400+ disponibles ont été testés. Sans tirer de conclusion définitive, nous pouvons supposer que beaucoup pourraient ne pas fonctionner beaucoup mieux.

Conclusion

Faut-il révolutionner la gestion de votre portefeuille de noms de domaine et le choix des TLD pour vos sites les plus visibles ? Faut-il tout passer en .biz ou en .co immédiatement pour augmenter les performances ?

Certainement pas. Tout d’abord, les réponses DNS sont fortement mises en cache, en particulier pour les sites Web très populaires, les résolveurs peuvent ne pas avoir besoin de toucher beaucoup de serveurs de noms de niveau supérieur. Ensuite, le choix d’un nom de domaine répond avant tout à des impératifs marketing (marque, zone géographique, disponibilité du nom) souvent bien plus impactants que les 50 millisecondes supplémentaires de temps de chargement pour le chargement de la première page.

Cependant, si vous essayez de comprimer absolument tous les derniers bits de performances et d’assurer une grande fiabilité dans un système où chaque dernière milliseconde compte, alors vous voudrez peut-être réfléchir à deux fois avant de choisir votre domaine. Les différences ne sont pas énormes, mais si vous visez à atteindre ce temps de chargement d’une seconde, les choses s’accumulent, dans certains cas, jusqu’à 200 ms.

Bien choisir son TLD en fonction des performances DNS certes, mais probablement pas de quoi s’en inquiéter trop.

DNS on Blockchain : la prochaine évolution des noms de domaine ?

DNS on Blockchain - Nameshield
Source de l’image : TheDigitalArtist via Pixabay

Résumé

Le DNS, système de noms de domaine, est un service au cœur du fonctionnement d’Internet. Il est fondamental pour le fonctionnement de nombreux services tels que les sites web, les serveurs mails, la téléphonie VoIP et bien d’autres.

Depuis plus de 30 ans, de nombreuses extensions et fonctionnalités ont été ajoutées au DNS, ce qui se traduit techniquement par une hausse de la complexité des infrastructures. 

La technologie Blockchain pourrait être une évolution considérable pour le DNS, en apportant plusieurs avantages et nouvelles fonctionnalités. 

_______________

Le DNS, un service fondamental

Le DNS, système de noms de domaine, est un service au cœur du fonctionnement d’Internet. Il fonctionne comme un annuaire public qui associe des noms de domaine à des ressources sur Internet, comme par exemple des adresses IP.

Lorsqu’un utilisateur saisit une adresse dans son navigateur, c’est donc un serveur DNS qui traduit cette adresse humainement compréhensible, en une adresse IP, compréhensible par les ordinateurs et les réseaux. C’est la résolution DNS.

DNS - DNS on Blockchain - Nameshield - Steve Despres

Ce système, créé en 1983, est fondamental pour le fonctionnement de nombreux services tels que les sites web, les serveurs mails, la téléphonie VoIP et bien d’autres. Il est en constante évolution pour répondre à des besoins toujours plus importants en termes de fonctionnalités et de sécurité. En effet, le DNS doit garantir : 

  • Disponibilité : une indisponibilité du service DNS entraînerait une coupure de services.
  • Intégrité : les données présentes sur le DNS (associées à un nom de domaine) ne doivent pas être corrompues.
  • Confidentialité : pour protéger la vie privée des utilisateurs, le DNS implémente différentes solutions qui permettent d’accroître la confidentialité des requêtes DNS. Si les requêtes ne sont pas confidentielles, il est possible d’analyser les informations de navigation des utilisateurs.

Le système de noms de domaine est basé sur un modèle de confiance centralisé. Il est distribué dans le monde entier et géré par différents acteurs de manière hiérarchique, en plusieurs niveaux ; un niveau racine, un premier niveau où sont gérées les extensions par les registres, puis un second niveau géré par les bureaux d’enregistrement. Le tout est orchestré par l’ICANN, l’autorité de régulation de l’Internet. 

Noms de domaine - DNS on Blockchain - Nameshield - Steve Despres

Depuis plus de 30 ans, de nombreuses extensions et fonctionnalités ont été ajoutées au DNS, ce qui se traduit techniquement par une hausse de la complexité des infrastructures. 

La technologie Blockchain pourrait être une évolution considérable pour le DNS, en apportant plusieurs avantages et nouvelles fonctionnalités. 

Blockchain et registre décentralisé

Une Blockchain est une structure de données accessible à tous et distribuée sur un réseau décentralisé ; les données sont répliquées sur chaque nœud du réseau, il n’y a pas d’autorité centrale. Tout le monde a la possibilité de lire son contenu, d’ajouter des données et même de rejoindre le réseau. Le concept a été implémenté la première fois en 2009 avec Bitcoin, mais il existe aujourd’hui de nombreuses technologies Blockchain, chacune avec des propriétés qui leur sont propres. 

Les données sont inscrites sur une Blockchain via des transactions. Les transactions sont regroupées en blocs, chaque bloc est ensuite validé par le réseau puis mis bout à bout. Ainsi, une Blockchain contient l’historique de toutes les transactions effectuées depuis sa création. 

Les règles de validation sont inscrites dans le protocole de la Blockchain, que chaque membre du réseau respecte. Pour garantir le respect de ses règles, les protocoles Blockchain s’appuient sur des algorithmes de consensus, le plus connu étant le Proof of Work. Ces algorithmes garantissent l’intégrité, l’immuabilité et la sécurité des données inscrites sur la Blockchain.

Blockchain - DNS on Blockchain - Nameshield - Steve Despres

 La technologie Blockchain répond à plusieurs besoins du DNS :

  • Disponibilité : un réseau décentralisé et pair à pair ne peut pas être arrêté. Cela pourrait remplacer ou compléter les infrastructures Anycast.  
  • Intégrité : le protocole de consensus d’une Blockchain garantit, par nature, l’intégrité des données. De plus, les données ne peuvent pas être modifiées. Ces propriétés permettraient de se passer de DNSSEC, et de sa fameuse cérémonie de renouvellement des clés
  • Confidentialité : Les requêtes effectuées pour lire les données de la Blockchain peuvent être encapsulées dans un canal HTTPS de la même manière que le protocole DNS over HTTPS (DoH). Les résolveurs DoH sont aujourd’hui peu nombreux, donc le trafic est centralisé autour d’un nombre limité d’acteurs. L’utilisation d’une Blockchain offrirait la possibilité d’interroger n’importe quel nœud du réseau, et limiterait donc ainsi la centralisation et les SPF (single point of failure). 

Les données inclues dans les fichiers de zones DNS, c’est-à-dire les configurations des noms de domaine, pourraient donc être distribuées sur une Blockchain. Chaque acteur (registres, bureaux d’enregistrement) pourrait directement interagir avec cette Blockchain pour gérer les noms de domaine. C’est l’idée du DNS on Blockchain.

De nouveaux besoins

Ces dernières années, avec l’émergence des technologies Blockchain, de nouveaux moyens d’échange de valeurs se sont développés, notamment avec la tokenisation, les crypto-actifs et les applications décentralisées (dapps); on parle de Web 3.0, ou de l’Internet de la valeur.

Moyens échange de valeurs - DNS on Blockchain - Nameshield - Steve Despres

Les portefeuilles numériques et applications décentralisées fonctionnent avec des identifiants difficilement lisibles, comme par exemple 0x483add28edbd9f83fb5db0289c7ed48c83f55982 pour une adresse de portefeuille. 

Pouvoir associer ce type d’adresse à des noms de domaine, au sein d’un système universel de nommage, pourrait avoir un réel intérêt pour les applications du Web de demain. Il serait possible d’avoir un portefeuille de cryptoactifs ou une application décentralisée configurée directement derrière un nom de domaine. Cela pourrait aussi se révéler utile pour l’identité numérique des entreprises et de leurs marques. 

DNS on Blockchain, aujourd’hui

De nombreux projets de systèmes de nommage sur Blockchain sont actuellement en cours de développement, chacun avec sa propre implémentation. 

Certaines applications proposent de nouvelles extensions de noms de domaine (TLD), comme le .bit, .zil, .crypto, .eth, etc. C’est notamment le cas de Namecoin et de UnstoppableDomains. Ces systèmes sont complètement indépendants du DNS traditionnel et de l’ICANN. L’enregistrement est directement géré par les utilisateurs, et la résolution des noms se fait en général à travers une extension de navigateur. Le navigateur Opera a récemment intégré nativement la résolution de ces noms de domaine.

Ces applications sont fonctionnelles et l’enregistrement des noms n’est pas contrôlé. Il y a donc beaucoup de cas de cybersquatting. Des utilisateurs enregistrent des noms dans l’espoir de les revendre et toucher une plus-value. Cela pose évidemment un problème pour les titulaires de marques, et empêchera certainement l’adoption de ces solutions par des entreprises. 

DNS on Blockchain - Nameshield - Steve Despres

D’autres projets proposent des solutions complémentaires au DNS. Ethereum Name Service (ENS) propose notamment un système de noms sur Blockchain qui s’intègre avec le DNS traditionnel. Si vous êtes titulaire d’un nom de domaine et pouvez le prouver avec un enregistrement DNSSEC, vous pouvez alors enregistrer ce même nom sur le service Blockchain. Cela permet de cumuler les avantages du DNS traditionnel et du DNS on Blockchain. 

Les extensions .kred, .xyz et le .luxe supportent déjà cette intégration sur Blockchain, et ENS prévoit de la proposer pour toutes les extensions compatibles DNSSEC. Ce projet est assez prometteur, Ethereum Name Service a récemment rejoint le DNS-OARC (DNS Operations, Analysis, and Research Center). 

Le projet Handshake propose quant à lui un protocole de nommage pour gérer le niveau racine du DNS, et fournir une alternative aux autorités de certification. Il remet en cause le modèle de confiance et de gouvernance du DNS, pour expérimenter un système plus décentralisé, sécurisé et résilient basé sur de la validation des zones DNS par les participants du réseau. 

Conclusion

Le DNS on Blockchain pourrait être une évolution considérable du DNS; cela apporterait plusieurs avantages et de nouvelles fonctionnalités grâce à la technologie Blockchain, ce qui profiterait au développement du web décentralisé. 

Cependant aujourd’hui, il n’y a pas encore de technologies et d’applications qui font l’unanimité, même si de nombreux projets et PoC sont en cours de développement. Ils n’ont pas encore une maturité suffisante pour être utilisés à grande échelle. Des améliorations en termes de scalabilité, de sécurité et d’usage doivent être réalisées.

La collaboration des acteurs d’Internet (ICANN, DNS-OARC, registres) semble indispensable pour qu’une technologie fasse consensus et soit adoptée, notamment pour fixer des règles communes.  C’est un sujet à suivre de près au cours des prochaines années.

Les sujets blockchains et crypto-actifs vous intéressent ? N’hésitez pas pour en savoir plus à consulter le site de notre collaborateur Steve Despres : https://cryptoms.fr/

[REPLAY WEBINAR] Se protéger du cybercrime : comprendre et appliquer les recommandations ANSSI visant le DNS

REPLAY WEBINAR - Se protéger du cybercrime : comprendre et appliquer les recommandations ANSSI visant le DNS

Le DNS est au cœur de nombreux services stratégiques de l’Internet (mails – VoIP – site – applications etc.) et reste un élément central exposé à de nombreuses cybermenaces.

L’ANSSI, l’autorité nationale en matière de sécurité et de défense des systèmes d’information, liste différentes préconisations pour la sécurisation du DNS.

DOH, DOT, blockchain DNS, DNSSEC font également l’actualité du DNS.

Notre expert aborde ces différents sujets à travers ce webinar, avec au programme :

  • Définition du Domain Name System
  • L’importance du DNS
  • L’ANSSI et le DNS
  • Les tendances du DNS

Retrouvez ce webinar animé par Christophe GERARD, Security Product Manager de Nameshield Group, en replay sur la plateforme Webikeo :

Le secteur financier, cible d’attaques sur le DNS de plus en plus coûteuses

Le secteur financier, cible d’attaques sur le DNS de plus en plus coûteuses
Source de l’image : JimBear via Pixabay

Les sociétés de services financiers sont particulièrement touchées par les cyberattaques. Elles détiennent une mine d’informations sur les clients, protègent leur argent et fournissent des services essentiels qui doivent être disponibles jour et nuit. Elles constituent une cible lucrative. Parmi les angles d’attaques privilégiés : le DNS.

Le rapport annuel Global DNS Threat d’Efficient IP montre une progression constante du nombre d’attaques sur le DNS et des impacts financiers, avec une perte financière moyenne de 1,2 million d’euros sur l’année 2019. Ce montant était estimé à 513 000 € en 2017 et 806 000 € en 2018.  

Si tous les secteurs d’activités sont touchés par les attaques, 82% des sociétés interrogées ont été touchées et 63% ont subi une interruption de trafic, le secteur financier paie un tribut plus important avec 88% d’impact. Menée auprès de 900 personnes de neuf pays d’Amérique du Nord, d’Europe et d’Asie, l’étude indique que les établissements financiers ont subi en moyenne 10 attaques au cours des 12 derniers mois, soit une augmentation de 37 % par rapport à l’année dernière.

La hausse des coûts n’est que l’une des conséquences des attaques DNS pour le secteur des services financiers. Les impacts les plus courants sont les temps d’arrêt des services cloud, rencontrés par 45% des organisations financières, et les temps d’arrêt des applications internes (68%). En outre, 47 % des établissements financiers ont été victimes d’escroqueries par le biais d’attaques phishing ciblant le DNS.

L’enquête montre clairement l’insuffisance des mesures de sécurité mises en place pour la sécurisation du DNS. Le retard dans l’application des correctifs de sécurité constitue un problème majeur pour les organisations du secteur. En 2018, 72% des entreprises interrogées admettaient un délai de trois jours nécessaires pour installer un correctif de sécurité sur leurs systèmes, durant lesquels ceux-ci ont été exposés aux attaques.

Seules 65% des institutions financières utilisent ou envisagent d’intégrer une architecture DNS de confiance, elles semblent toujours être en retard et ne pas prendre suffisamment conscience des risques liés à ce point central de leur infrastructure. L’évolution des menaces sur le DNS est permanente, les attaques nombreuses et complexes. Il convient de réagir rapidement pour mieux se protéger.

Industrie, commerce, médias, télécoms, santé, éducation, gouvernement, service… autant d’autres secteurs touchés par les attaques. Des solutions existent. L’ANSSI publie chaque année le guide des bonnes pratiques en matière de résilience du DNS, détaillant de nombreuses recommandations pour être protégé. S’appuyer sur un réseau Anycast ; disposer de système de protection contre les attaques DDoS ; avoir du monitoring de trafic DNS et une équipe en mesure d’intervenir rapidement ; disposer d’une politique de sécurité efficace… Autant de mesures indispensables à la résilience et l’efficacité du réseau DNS face à ces attaques préjudiciables en termes d’impact financier et d’image. En espérant voir enfin de meilleurs chiffres sur le rapport 2020.

50 ans après l’Arpanet, l’ancêtre d’Internet

50 ans après l’Arpanet, l’ancêtre d’Internet
Source de l’image : geralt via Pixabay

Le 29 octobre 1969, l’Université de Californie à Los Angeles (UCLA) envoie à l’Institut de Recherche de Stanford, le tout premier message électronique par le réseau Arpanet (Advanced Research Projects Agency Network), posant ainsi les fondations du monde connecté d’aujourd’hui.

Arpanet, le précurseur d’Internet

Arpanet est le premier réseau à transfert de paquets de données développé par l’Agence des Projets de Recherche avancée (ARPA – Advanced Research Projects Agency), appartenant au département de la Défense des Etats-Unis.

Le premier nœud d’Arpanet a été installé à l’UCLA le 30 août 1969, le second à l’Institut de Recherche de Stanford le 1er octobre 1969. Le premier message a ainsi été envoyé entre ces deux institutions le 29 octobre 1969, par le professeur de sciences de l’UCLA, Leonard Kleinrock qui souhaitait envoyer le mot « login » mais à la suite d’un bug, seules les lettres « l » et « o » sont arrivées sans encombre jusqu’au destinataire, le mot entier ne sera transmis qu’une heure plus tard.

L’Arpanet connectait ainsi plusieurs universités et centres de recherches : tout d’abord, l’Université de Californie à Los Angeles et l’Institut de Recherche de Stanford, suivis de peu par l’Université de Californie à Santa Barbara et l’Université d’Utah. Fin 1969, Arpanet comptait alors 4 nœuds, en 1971, 23 nœuds furent créés et 111 nœuds en 1977.

En 1983, l’Arpanet a été divisé en deux réseaux distincts : l’un militaire, le MILnet (Military Network) et l’autre universitaire, le NSFnet.

Le 1er janvier 1983, le nom « Internet », déjà en usage pour désigner l’ensemble d’Arpanet, est devenu alors officiel.

Les 30 ans du World Wide Web

En 1989, Tim Berners-Lee, un chercheur britannique travaillant au CERN (Organisation européenne pour la recherche nucléaire) a proposé un système hypertexte fonctionnant sur Internet. À l’origine, ce système a été conçu pour que des scientifiques travaillant dans des universités et des instituts du monde entier puissent s’échanger des informations instantanément. Sa vision d’une connectivité universelle devient le World Wide Web, qui a fait exploser l’usage d’Internet.

En 1993, Mosaic le pionnier des navigateurs web, a été créé par Marc Andreessen et Eric J.Bina, deux étudiants du National Center for Supercomputing Applications (NCSA) de l’Université de l’Illinois. Il ne s’agissait pas du premier navigateur graphique mais Mosaic était particulièrement rapide et permettait aux utilisateurs d’afficher les images au sein des pages, ce qui lui a valu une certaine popularité et a contribué à l’accroissement de la popularité du World Wide Web.

Internet Protocol – De l’IPv4 à l’IPv6

Le protocole Internet (IP – Internet Protocol) est une famille de protocoles de communication de réseaux informatiques conçus pour être utilisés sur Internet. Les protocoles IP permettent un service d’adressage unique pour l’ensemble des terminaux connectés.

IPv4, la première version principale a été inventée dans les années 70 et introduit au public en 1981. Elle forme encore aujourd’hui, la base d’une grande partie des communications sur Internet. Il y a 20 ans, l’IETF (Internet Engineering Task Force) a prédit l’épuisement des adresses IPv4 et a commencé à travailler sur une nouvelle version du protocole Internet : IPv6.

IPv4 utilise le schéma d’adressage codé sur 32 bits pour supporter environ 4,3 milliards d’adresses possibles, tandis qu’IPv6 dispose d’un espace d’adressage bien plus important grâce à des adresses codées sur 128 bits, soit 3,4 ×  1038 adresses possibles.

DNS – Le Système des Noms de Domaine

A la demande de l’Agence des Projets de Recherche avancée du département de la Défense américaine, le DNS (Domain Name System – Système des noms de domaine) a été inventé en 1983 par Jon Postel et Paul Mockapetris, afin d’associer des adresses IP complexes à des noms humainement compréhensibles plus simples à retenir. Ainsi une adresse logique, le nom de domaine est associé à une adresse physique, l’adresse IP. Le nom de domaine et l’adresse IP sont uniques.

En 1998, est créé l’ICANN (Internet Corporation for Assigned Names and Numbers), l’autorité de régulation de l’Internet. Son rôle premier est d’allouer l’espace des adresses de protocole Internet, d’attribuer les identificateurs de protocole (IP), de gérer le système de noms de domaine de premier niveau pour les codes génériques (gTLD), d’attribuer les codes nationaux (ccTLD), et d’assurer les fonctions de gestion du système de serveurs racines.

Avec 351,8 millions d’enregistrements de noms de domaine au premier trimestre 2019, les dépôts de noms de domaine ne cessent d’augmenter, avec cependant en parallèle, une augmentation du nombre des menaces visant le DNS.

L’émergence des cybermenaces

Considérée comme l’une des premières cyberattaques et certainement la première à avoir attiré l’attention des médias de masse, l’attaque du ver Morris (Morris Worm) a été lancée par un étudiant de l’Université de Cornell, Robert Tappan Morris, en 1988. A l’origine, le logiciel malveillant développé par l’étudiant n’avait pas pour but de causer des dommages mais d’estimer tout simplement l’étendue d’Internet. Ce ver a pourtant touché environ 10% des 60 000 machines estimées connectées à Internet et les dommages causés étaient de l’ordre de 100 000 à 10 millions de dollars. Cet événement marque alors un tournant dans le domaine de la sécurité en ligne.

Aujourd’hui, les cyberattaques sont nombreuses, fréquentes et de plus en plus sophistiquées. L’évolution des techniques et l’apparition de nouvelles technologies les rendent toujours plus complexes et offrent de nouvelles opportunités aux attaquants.

Divers types de cyberattaque existent, tels que des attaques ciblant le DNS : DDoS, DNS cache poisoning, DNS spoofing, Man in the middle… (En 2019, selon l’IDC – International Data Corporation, 82% des entreprises mondiales ont fait face à une attaque DNS au cours de l’année écoulée) ou encore des attaques visant directement les utilisateurs et ayant pour objectif d’obtenir des informations confidentielles pour usurper une identité (phishing).

Ces attaques peuvent avoir des conséquences considérables pour les entreprises victimes. Par exemple, le coût d’une fuite de données est aujourd’hui en moyenne de 3,92 millions de dollars, selon IBM Security, ce coût a augmenté de 12% en 5 ans.

Un trafic IP estimé en 2022 plus important que celui généré de 1984 à 2016

Aujourd’hui, avec plus de 5 milliards de recherches faites sur Google chaque jour et l’e-commerce continuant son avancée, les réseaux sociaux connaissant un véritable succès et le nombre en constante augmentation des objets connectés, le volume du trafic sur Internet a fortement augmenté.

En effet en 1974, le trafic sur Internet dépassait 3 millions de paquets par jour. Selon une étude de Cisco, en 2017, le trafic IP global était de 122 exaoctets par mois et la société estime que ce volume devrait atteindre 396 exaoctets d’ici 2022.

« La taille d’Internet et sa complexité continuent de croître d’une façon que beaucoup n’auraient pu imaginer. Depuis que nous avons lancé nos prévisions VNI en 2005, le trafic a été multiplié par 56 et a atteint un taux de croissance annuel composé (TCAC) de 36 %, lié au nombre de plus en plus important d’utilisateurs, d’appareils et d’applications accédant aux réseaux IP », explique Jonathan Davidson, vice-président senior et directeur général du Service Provider Business chez Cisco.

50 ans après la naissance d’Arpanet, l’ancêtre d’Internet, le monde compte aujourd’hui plus d’appareils connectés que de personnes. En 2022, les internautes représenteront 60 % de la population mondiale et plus de 28 milliards d’appareils se connecteront à Internet.

REPLAY WEBINAR CYBERSÉCURITÉ – DDoS et attaques ciblant le DNS et les noms de domaine : comment s’en protéger ?

REPLAY WEBINAR CYBERSECURITE - DDoS et attaques ciblant le DNS et les noms de domaine : comment s'en protéger ?

Le 24 février dernier le monde a pris conscience, à la suite d’un communiqué de l’ICANN, que l’Internet pouvait s’arrêter à tout moment ! En cause, la protection des noms de domaine et du DNS, pierre angulaire de l’accès aux sites web.

Saviez-vous que la disponibilité de vos mails, sites et services Internet dépend du Nom de Domaine?

Au programme de ce webinar à destination des Grands Comptes, Entreprises publiques et privées, Online Players et plus généralement des entreprises utilisant Internet comme canal de communication et de diffusion :

  • Actualités en cybersécurité
  • Comprendre l’importance du DNS
  • Identifier les attaques visant le DNS et les noms de domaine
  • Les bonnes pratiques pour se protéger

Retrouvez ce webinar animé par Christophe GERARD, Security Product Manager et Lucie LOOS, Directrice Marketing Experte cybersécurité de Nameshield group, en replay sur la plateforme Webikeo :

Une attaque visant le système des noms de domaine : la priorité, protéger ses accès

Cyberattaque mondiale - DNS Hijacking - cyberespionnage
Source de l’image : Geralt via Pixabay

Les médias ont très largement relayé le weekend dernier les méfaits d’une attaque à priori sans précédent et visant les noms de domaine.

C’est en effet dans la nuit du 22 au 23 février que, l’ICANN a déclaré des attaques d’une grande envergure visant les noms de domaine : il s’agit de DNS hijacking. Ces attaques consistent « à remplacer les adresses des serveurs » autorisés « par des adresses de machines contrôlées par les attaquants », a expliqué l’organisme, permettant aux pirates d’interroger les données pour découvrir mots de passe, adresses mail etc., voire de capter complètement le trafic vers leurs serveurs.

Une vague d’attaques qui a débuté en novembre 2018

En réalité, il ne s’agit pas d’une attaque, mais d’une vague d’attaques que le système des noms de domaine subit depuis maintenant plusieurs semaines.

Dès la fin du mois de novembre 2018, une attaque visait le Liban et les Émirats Arabes Unis et avait affecté les noms de domaine en .GOV. Dans cette première attaque, les cybercriminels avaient procédé à du DNS hijacking.

Début janvier 2019, la société FireEye faisait état dans un article d’une vague de DNS hijacking affectant les noms de domaine appartenant au gouvernement et aux secteurs des télécommunications et d’Internet au Moyen-Orient, en Afrique du Nord, Europe et Amérique du Nord.

Si les pirates n’avaient pas été alors identifiés, les premières recherches laissaient à penser que ces derniers pourraient opérer depuis l’Iran.

Fait important quant à l’attaque du 22 février : elle frappait cette fois-ci, parfois avec succès, des acteurs importants de l’Internet.

En quoi ces attaques consistent-elles ?

La méthode employée est celle du DNS hijacking, déployé à grande échelle. Il s’agit d’une attaque malicieuse, également appelée redirection DNS. Son but : écraser les paramètres TCP/IP d’un ordinateur afin de le diriger vers un serveur DNS pirate en lieu et place du serveur DNS officiel paramétré. Pour ce faire, le pirate prend le contrôle via différentes techniques de la machine cible pour altérer les configurations DNS.

Le gouvernement américain, entre autres, a récemment tiré la sonnette d’alarme face à ces séries d’attaques très sophistiquées dont le but serait de siphonner un important volume de mots de passe. Ces attaques cibleraient plus spécifiquement les gouvernements et les sociétés privées.

Entre DNS hijacking et cyberespionnage

Selon l’article de Talos de novembre 2018, les pirates derrière ces attaques auraient ainsi récupéré des emails et des informations de connexions (identifiants – mots de passe) en hijackant le DNS, faisant en sorte que le trafic des emails des institutions ciblées et le VPN (Virtual Private Networking) soient redirigés vers un serveur contrôlé par les cybercriminels.

Une fois les connecteurs récupérés, d’autres attaques peuvent être lancées, telles que le Man-In-The-Middle, à des fins d’espionnage.

Alors comment se protéger efficacement ?

Il faut être conscient que si ces attaques visent prioritairement le système d’avitaillement des noms de domaine, nous ne le dirons jamais assez, la première porte d’entrée d’un pirate à votre portefeuille de noms de domaine est vos accès plateforme de gestion.

La première et absolue recommandation est de protéger ses accès

Nameshield a mis en place, depuis de nombreuses années, des dispositifs de sécurisation de l’accès au portail de gestion des noms de domaine (filtrage IP, ACL, HTTPS) et propose en sus l’authentification 2 facteurs et le SSO.

Si ces solutions complémentaires ne sont pas encore en place, Nameshield recommande vivement de mettre en place ces solutions, tout particulièrement la double factor authentification, pour lutter contre les vols de mots de passe.

Mettre en place le protocole DNSSEC

La mise en place du protocole DNSSEC, s’il était bien plus largement déployé, aurait pu empêcher ou à tout le moins amoindrir l’impact de ces attaques, en limitant leurs conséquences.

Il devient plus qu’urgent que DNSSEC soit désormais massivement adopté, tant au niveau des résolveurs que des serveurs faisant autorité.

Protéger ses noms de domaine stratégiques

La mise en place d’un registry lock sur vos noms stratégiques empêchera les modifications frauduleuses de ces derniers.

Si aucune solution parfaite n’existe aujourd’hui pour protéger à 100% les infrastructures des cyberattaques, c’est l’application de plusieurs mesures préventives combinées qui permettra de diminuer les vulnérabilités exploitées (si) facilement par les pirates.

Le DNS peut-il avoir un impact sur le référencement naturel (SEO) ?

Le DNS peut-il avoir un impact sur référencement naturel (SEO) ?
Source de l’image : geralt via Pixabay

C’est une question qui revient régulièrement de la part de nos clients, est-ce que l’utilisation (bonne ou mauvaise) du DNS a un impact sur le référencement naturel (SEO) des sites web ? Nous avions déjà abordé l’impact du passage d’un site web en HTTPS sur le SEO, c’est ici l’occasion de se pencher sur le côté DNS.

Le DNS est un processus invisible, implémenté à l’arrière-plan et il est difficile de concevoir en quoi cela peut aider ou nuire aux performances d’un site Web et donc au classement dans les moteurs de recherche et plus particulièrement Google.

Cet article abordera l’impact potentiel du DNS en réponse aux questions suivantes :

  • La modification d’un enregistrement DNS affecte-t-elle le référencement ?
  • Le changement de fournisseur DNS affecte-t-il le référencement ?
  • Quelle partie du DNS joue dans une migration de site ?
  • Le changement de l’adresse IP d’un site Web affecte-t-il le référencement du site ?
  • Quid de l’implémentation de DNSSEC ?
  • Une panne DNS peut-elle impacter le référencement ?
  • Un DNS plus rapide peut-il améliorer le référencement ?

Le changement au niveau DNS affecte-t-il le référencement naturel ?

1. Modification d’un enregistrement DNS, attention au TTL

La redirection d’un nom de domaine vers le serveur web correspondant passe souvent par la création d’un enregistrement de type A (adresse IPv4). L’enregistrement A dirigera alors le trafic vers l’adresse IP du serveur Web de destination. La modification de cet enregistrement peut entrainer des problèmes de performances.

En effet, pour optimiser les temps de réponses, le système DNS permet la mise en cache des informations auprès des serveurs DNS résolveurs pour une durée donnée, la durée du TTL (Time to live) définie par le gestionnaire technique du nom de domaine, lors de la configuration de celui-ci. Le TTL habituel, tel que recommandé par l’ANSSI, est de plusieurs heures pour les utilisations classiques des noms de domaine (sites web). Dans le cas d’une modification d’un enregistrement A, celle-ci pourrait ainsi n’être prise en compte qu’à la fin du TTL. Les internautes pourraient donc accéder aux anciennes configurations d’enregistrement pendant encore quelques minutes ou même plusieurs heures après les modifications.

Il est ainsi important de réduire les TTL, ne serait-ce que de manière temporaire lors de ces modifications.

Mais cela affecte-t-il le référencement ? Oui et non. Dans le cas d’utilisateurs envoyés vers une destination qui n’existe plus, Google considérera cela comme une erreur 404. Au-delà de l’expérience utilisateur négative, ce n’est pas directement un facteur de référencement. Attention cependant à la présence éventuelle de backlinks et d’un nombre trop important d’erreurs 404. Un TTL bas permet ainsi de limiter l’impact lors de ces modifications.

2. Modification des DNS déclarés pour un nom de domaine

Un nom de domaine est associé à des serveurs de noms (NS / Name Servers) qui permettent la bonne résolution DNS. Le service DNS vient chercher l’information sur ces NS. Ces NS peuvent être modifiés lors du changement du fournisseur gestionnaire du nom de domaine, ou simplement pour passer d’une infrastructure DNS à une autre. Le changement de serveur de noms affectera-t-il le référencement ?

Selon le fournisseur et l’infrastructure choisie, les temps de résolution pourront être plus ou moins courts avec un impact potentiel d’amélioration ou de diminution par rapport au SERP (Search Engine Result Page). En effet, le temps de résolution est pris en compte par Google (voir ci-après).

Et comme pour un changement d’enregistrement, il est conseillé de réduire la durée de vie des enregistrements avant de modifier les serveurs de nom, afin que les DNS résolveurs ne gardent pas en cache les anciennes informations.

3. Risque lié au DNS lors de la migration d’un site

C’est le même principe qu’abordé précédemment. Les modifications des configurations DNS n’affectent pas directement le référencement, mais elles risquent d’entraîner une mauvaise expérience utilisateur. Il convient également de jouer sur les TTL.

Quels cas de figure sont à considérer ?

  • Changer de fournisseur d’hébergement Web
  • Changer de fournisseur d’hébergement DNS
  • Déplacement du trafic de www. vers un « domaine nu » (sans le www.)
  • Déplacement de votre domaine vers un CDN (réseau de diffusion de contenu)

4. Changement de l’adresse IP de destination

Non. Lors de la modification d’un enregistrement pointant d’un point de terminaison à un autre, le référencement n’est pas impacté. La seule (très rare) exception à cette règle serait de pointer un domaine vers un point de terminaison qui aurait déjà été identifié comme un serveur de courrier indésirable (par exemple l’adresse IP d’un serveur mutualisé).

Attention cependant à l’adresse IP en question, une des (nombreuses) règles de référencement de Google est qu’une adresse IP utilisée par un site web devrait se situer à proximité de l’utilisateur final.

5. Mise en place de DNSSEC 

DNSSEC permet d’authentifier la résolution DNS via une chaine de confiance entre les différents serveurs DNS de cette résolution. Comme pour le HTTPS, c’est une couche de sécurité supplémentaire à mettre en place. Comme pour le HTTPS, le temps de chargement des pages est impacté et donc potentiellement le SEO associé. Pour autant, il faut remettre les choses en perspectives, DNSSEC est indispensable à la sécurité de navigation des internautes et il est préférable de le mettre en place. La plupart des sociétés proposant des audits de sécurité autour des noms de domaine considèrent DNSSEC comme nécessaire, et donc comme un critère de notation.

Des DNS plus rapides améliorent-ils le référencement?

Google a admis que le temps de chargement d’une page a une incidence sur les résultats du SERP. Les temps de recherche DNS sont généralement inférieurs à une seconde, ils peuvent néanmoins affecter le chargement d’une page dans les cas suivants :

1. Pannes récurrentes sur l’infrastructure DNS

Lorsque qu’un DNS ne parvient pas à résoudre ou prend plus de temps que d’habitude, cela peut ajouter des secondes entières au temps de chargement d’une page. En cas de manque de fiabilité et d’indisponibilité récurrente, l’impact sur le SEO est avéré… sans parler de l’expérience utilisateur face à des échecs répétés (augmentation du taux de rebond, baisse de la rétention des clients et impact sur la confiance envers la marque, voire perte de revenus). Il est important de s’appuyer sur une infrastructure fiable et de confiance.

2. Qualité du réseau et points de présence

C’est de la physique pure et simple, plus un serveur de noms est proche d’un utilisateur final, moins il faut de temps pour répondre à sa requête. Les réseaux DNS dits « anycast » (adressage et routage optimisé vers le serveur le « plus proche » ou le « plus efficace »), disposant de nombreux points de présence dans le monde, permettent d’optimiser les temps de réponse en fonction notamment de la localisation géographique.

Un autre point important est de disposer d’au moins trois serveurs de noms qui font autorité (SOA) pour un nom de domaine, idéalement basés sur des noms de domaine et sur des TLDs différents, afin de réduire le risque de SPOF (Single Point of Failure) d’une infrastructure. En effet, si une infrastructure repose sur le même nom de domaine, une indisponibilité de ce nom de domaine, quelle qu’en soit la raison, entraine l’indisponibilité de l’infrastructure DNS. De même au niveau des TLDs, et même si c’est moins probable,  un problème de disponibilité du registre affecterait l’ensemble de l’infrastructure DNS.

3. Attention aux configurations DNS « à rallonge »

Il n’est pas rare d’avoir des configurations DNS qui envoient vers une destination finale via plusieurs étapes, comme dans l’exemple ci-dessous. Dès lors, le temps de résolution s’en trouve impacté et potentiellement la performance en termes de référencement naturel.

fr.wikipedia.org. IN CNAME text.wikimedia.org.

text.wikimedia.org. IN CNAME text.esams.wikimedia.org.

text.esams.wikimedia.org. IN A 91.198.174.232

Conclusion

Le référencement naturel est une science qu’il faut considérer dans son ensemble. Ainsi, comme nous l’avions vu au travers de l’impact du passage d’un site web en HTTPS, il s’agit d’un facteur de référencement parmi d’autres, et toutes choses étant égales par ailleurs, alors il revêt une importance particulière pour se différencier sur la première page de résultats.

Il en est de même pour l’impact du DNS sur le SEO. Le DNS peut-il avoir un impact ? Oui, clairement dans le cas de mauvaises configurations ou d’infrastructures DNS ne permettant pas des temps de réponses suffisamment rapides. Une infrastructure DNS dite anycast est primordiale pour tout nom de domaine porteur de trafic web important, qui plus est à dimension internationale. C’est une donnée à intégrer dans un tout et il convient de porter cette réflexion dans une approche globale du SEO avec l’équipe web marketing.

DNS Flag Day : Are you ready ?

DNS Flag Day : Are you ready ?

Le DNS n’a de cesse de faire parler de lui ces derniers temps ! Après le premier KSK rollover d’octobre 2018, et la désactivation de l’ancienne clé KSK le 11 janvier dernier, voici venue l’heure du DNS Flag Day !

DNS Flag Day : De quoi s’agit-il ?

Késako me direz-vous ? Le flag day est une expression utilisée en informatique pour signifier la date butoir et/ou un changement radical.

Rappelons-nous que lors de sa création, le poids des menaces cybercriminelles pesant désormais sur l’infrastructure DNS n’existait pas. Si la sécurité était reléguée au second plan, l’évolution des attaques l’ont rendue absolument nécessaire : le DNS se doit d’être renforcé !

C’est dans ce contexte qu’a été créé, en 1999, le standard EDNS (mis à jour en 2013 dans le RFC6891). EDNS a notamment permis la mise en œuvre de DNSSEC, la géolocalisation du DNS et d’autres mesures visant à un renforcement de la sécurité. 

Cette transition n’a pas été sans mal. Adoptions du standard EDNS abusives, absences de mises à jour, contournements ont entrainé la création de nombreux patches et adaptations du code des serveurs récursifs (afin notamment de pouvoir différencier les serveurs DNS ne supportant pas correctement EDNS de ceux injoignables pour d’autres motifs).

Deux décennies plus tard, la maintenance de tous ces logiciels patchés est devenue plus que complexe et engendre des bugs pouvant compromettre la sécurité des DNS. Le poids de ces patchs impacte évidemment la rapidité des temps de réponse.

L’heure est donc venue pour ce standard d’être appliqué par tous, sous peine de ne plus pouvoir faire efficacement face aux nouvelles attaques DNS, telles que l’amplification ou encore les attaques layer 7.

C’est pourquoi les grands acteurs informatiques (Google, Cloudflare, Facebook, Cisco…), dont les développeurs des serveurs récursifs, ont décidé d’une seule voix de ne plus supporter les serveurs DNS ne respectant pas le standard EDNS à compter du 1er février 2019. Le flag day arrive !

Et concrètement ?

A partir du DNS Flag Day, le 1er février donc, tous les serveurs DNS non compatibles avec le standard EDNS (ou ne fonctionnant pas faute d’un firewall compatible EDNS), ne répondant donc pas à des requêtes EDNS, seront vus comme injoignables ; les contournements et autres patches évoqués allant être supprimés des nouvelles versions des logiciels DNS.

Pour simplifier, non placé sur des DNS compatibles, votre nom de domaine court le risque de ne plus répondre.

Comment anticiper ?

C’est pourquoi il est important de vous assurer que les serveurs DNS hébergeant les zones de vos noms soient compatibles EDNS, notamment si ces derniers ne sont pas placés sur l’infrastructure DNS Nameshield, ou si votre entreprise maintient sa propre infrastructure.

Le site DNS Flag Day permet également de tester la conformité de votre nom : https://dnsflagday.net/

Notre équipe se tient bien sûr à votre disposition pour toute question.

La révocation de la clé de sécurité DNS KSK-2010 par l’ICANN, c’est cette semaine !

La révocation de la clé de sécurité DNS KSK-2010 par l’Icann, c’est cette semaine !
Source de l’image : TheDigitalArtist via Pixabay

Après le tout premier changement de clé cryptographique d’octobre dernier, c’est maintenant que, le 11 janvier, l’ancienne clé KSK (Key Signing Key) de la zone racine sera désactivée.

Le processus enclenché en octobre 2018 pour améliorer la sécurité de la zone racine, avec le déploiement de la Key Signing Key-2017, trouve donc son aboutissement avec la révocation de la racine de l’ancienne clé KSK-2010.

Comme l’indique Paul Hoffman, responsable de la technologie ICANN, « L’Icann pense que la révocation ne provoquera aucun problème. Cependant, c’est la première fois que l’on révoque le KSK de la zone racine du système de noms de domaine (DNS). L’Icann et la communauté technique du DNS suivront donc de près tout ce qui se passera pendant les 48 heures au moins après la publication de la clé KSK-2010 révoquée ».

A noter, lors du roulement d’octobre, les impacts négatifs avaient été extrêmement limités et il semblerait que seuls deux fournisseurs de services Internet aient été victimes de coupures lors de l’opération.

L’Icann encourage bien sûr les vendeurs de solutions à ne plus utiliser la KSK-2010 dans leurs produits. L’Icann devrait ensuite publier un livre blanc traitant du processus de roulement (rollover) dans son intégralité, y compris les leçons apprises de cette opération. Les communautés Icann pourront ensuite ouvrir les discussions relatives aux prochains roulements qui pourraient avoir lieu.