Le DNS inversé (ou reverse DNS) est souvent méconnu des gestionnaires de noms de domaine, en particulier quand les noms sont hébergés par de grandes sociétés d’hébergement. Le DNS inversé permet de faire une résolution depuis une adresse IP vers un FQDN. C’est l’exact opposé de l’utilisation classique du DNS qui fait correspondre des noms de domaine avec des adresses IP. Le reverse DNS permet de répondre à la question : j’ai une adresse IP, quel est le FQDN qui s’y rapporte ?
Le reverse DNS fonctionne via la création d’une zone DNS reverse dans laquelle des enregistrements DNS PTR (pour Pointer Record) vont être configurés.
DNS classique : Record A : on connaît le nom d’un site et on souhaite récupérer son adresse IP…
DNS inversé PTR : on connaît une adresse IP et on souhaite récupérer le nom du site.
Le système de résolution se construit de manière similaire à la résolution classique. Pour opérer la résolution DNS, l’adresse IP à interroger est configurée dans la zone reverse avec le suffixe .arpa et pointe vers la destination requise. Le principe est le même pour les adresses IP v4 et v6 selon la construction suivante :
Ex: IPv4 : 11.80.92.81.in-addr.arpa. IN PTR capp.perf1.com.
Ex: IPv6 : 0.0.0.0.0.0.0.0.0.1.0.1.0.0.0.0.0.8.c.0.0.1.0.a.2.ip6.arpa. 4080 IN PTR capp.perf1.com.
Cette construction permet d’opérer une résolution DNS classique sur un nom de domaine avec une extension «.arpa».
Pourquoi est-ce si important ?
Le DNS inversé est principalement utilisé pour le suivi de la provenance d’un visiteur du site Web, de l’origine d’un message électronique, etc. Il n’est généralement pas aussi critique que le DNS classique, les visiteurs atteindront le site Web même sans la présence de DNS inversé pour l’IP du serveur Web ou l’IP du visiteur.
Cependant, le DNS inverséest important pour une application particulière : la messagerie.
De nombreux serveurs de messagerie sur Internet sont en effet configurés pour rejeter les e-mails entrants provenant de toute adresse IP qui n’a pas de DNS inversé. Pour celui qui gère son propre serveur de messagerie, le DNS inversé doit exister pour l’adresse IP à partir de laquelle le courrier électronique sortant est envoyé.
Peu importe l’adresse vers laquelle pointe l’enregistrement DNS inversé de l’adresse IP, un enregistrement reverse est attendu. Dans le cas d’hébergement de plusieurs domaines sur un même serveur de messagerie, il suffit de configurer le DNS inversé pour pointer vers le nom de domaine considéré comme principal (Les serveurs de messagerie vérifiant le DNS inversé reconnaissent qu’il est normal d’héberger de nombreux domaines sur une seule adresse IP et qu’il serait impossible de répertorier tous ces domaines dans le DNS inversé pour l’IP).
Nous vous recommandons de vérifier la possibilité de paramétrer un DNS inversé auprès de votre solution d’hébergement DNS.
Le DNS est au cœur des services critiques de l’entreprise : Internet, e-mail, applications… Il doit rester disponible et avoir un niveau élevé de sécurité. En effet une interruption de services aurait de lourdes conséquences pour les entreprises victimes.
Pourtant, le DNS est bien souvent l’infrastructure la moins sécurisée d’une entreprise et est exposé à de nombreuses attaques potentielles.
Découvrez dans cette nouvelle infographie, disponible en téléchargement sur le site de Nameshield, quelles sont les vulnérabilités de l’architecture DNS, les différentes attaques et comment assurer la disponibilité et la protection des services en ligne.
Analyse comparative des domaines de premier niveau, les fameux Top Level Domains (.com, .fr…)
Le nerf de la guerre des sites web à forte visibilité est le temps de téléchargement. Facteur de référencement naturel admis par Google, ce temps de téléchargement peut être impacté significativement lors de la résolution DNS. S’il convient de s’appuyer sur une infrastructure DNS de premier ordre, le choix de l’extension associée à un nom de domaine a son importance. En effet, les registres ne sont pas tous aussi performants les uns que les autres en matière de DNS, pour ne pas dire que certains affichent des performances décevantes. L’offre en matière de TLD (près de 1400) a largement augmenté depuis le programme des nouvelles extensions de l’ICANN. Analyse à suivre.
Petit retour sur le temps de résolution DNS et son impact sur le temps de chargement
La résolution d’un domaine tel que nameshield.net suit plusieurs étapes avant de pouvoir contacter le serveur de contenu. Le résolveur DNS contacte les serveurs DNS racines (.), puis les serveurs DNS du registre de l’extension concernée (.net) afin d’obtenir la liste des serveurs DNS responsables du domaine, et enfin ces serveurs DNS pour obtenir la réponse demandée. La réponse obtenue est certes mise en cache par le DNS résolveur (généralement géré par le FAI), mais ce ne sera pas toujours le cas en fonction de la popularité de votre domaine.
Cela signifie que si le DNS du domaine de premier niveau (.net) est lent, il peut en fait retarder la résolution DNS pour le domaine lui-même et, dans le pire des cas très improbable, même provoquer une panne. Vous ne pouvez pas y faire grand-chose à part bien choisir le fameux TLD.
Analyse comparative
Bunny CDN, un acteur slovène de la livraison de contenu a mené la surprenante analyse suivante. S’appuyant sur leur réseau mondial, ils ont surveillé les performances DNS dans le monde entier à partir de plus de 50 sites et réseaux.
Pour chaque domaine de premier niveau, leur système a choisi un serveur de noms aléatoire publié pour chacun des domaines de premier niveau et a interrogé un nom de domaine également aléatoire. Les résultats ont été groupés par région et les données enregistrées toutes les 10 secondes.
Résultats
Ils ont testé 42 des domaines de premier niveau les plus populaires, puis agrégé les résultats en une moyenne médiane mondiale et une agrégation à 85 centiles (les 15% de réponses les plus lentes n’ont pas été prises en compte). Ces tests ont été effectués uniquement à partir de leur réseau, une étude plus complète mériterait certainement d’être menée, mais ils offrent un bon aperçu général.
Source : BunnyCDN
Des résultats ont été assez surprenants
Les domaines les plus étonnants concernent les .info et .org qui ont montré des performances vraiment médiocres, en particulier dans la plage de 85 centiles, et ce malgré leur ancienneté et les millions de domaines enregistrés. Il semble que 4 des 6 serveurs de noms fonctionnent extrêmement mal, ce qui explique les mauvais résultats.
Le .net et le .com ont été très légèrement plus lents qu’attendu en Europe et en Amérique du Nord, mais offrent par ailleurs des performances excellentes et stables dans toutes les régions, visibles dans la médiane mondiale. Le .net et le .com ont des réseaux beaucoup plus grands, mais restent un choix très intéressant pour obtenir les performances maximales absolues.
Moins attendue, la performance des TLD .co, .biz et .in, bien en avance sur les autres.
Certains nouveaux domaines (.online, .top, .blog…) attirants sur le plan marketing et en forte croissance, montrent des performances décevantes…
… à l’inverse de très bonnes surprises pour .live, .email, .news, gérés par Donuts Inc ou encore .club et .buzz gérés par Neustar Inc, avec cependant une très forte baisse des performances dans des régions en dehors de l’Europe et de l’Amérique du Nord, ce qui aggrave encore le problème.
42 TLD parmi les plus populaires des 1400+ disponibles ont été testés. Sans tirer de conclusion définitive, nous pouvons supposer que beaucoup pourraient ne pas fonctionner beaucoup mieux.
Conclusion
Faut-il révolutionner la gestion de votre portefeuille de noms de domaine et le choix des TLD pour vos sites les plus visibles ? Faut-il tout passer en .biz ou en .co immédiatement pour augmenter les performances ?
Certainement pas. Tout d’abord, les réponses DNS sont fortement mises en cache, en particulier pour les sites Web très populaires, les résolveurs peuvent ne pas avoir besoin de toucher beaucoup de serveurs de noms de niveau supérieur. Ensuite, le choix d’un nom de domaine répond avant tout à des impératifs marketing (marque, zone géographique, disponibilité du nom) souvent bien plus impactants que les 50 millisecondes supplémentaires de temps de chargement pour le chargement de la première page.
Cependant, si vous essayez de comprimer absolument tous les derniers bits de performances et d’assurer une grande fiabilité dans un système où chaque dernière milliseconde compte, alors vous voudrez peut-être réfléchir à deux fois avant de choisir votre domaine. Les différences ne sont pas énormes, mais si vous visez à atteindre ce temps de chargement d’une seconde, les choses s’accumulent, dans certains cas, jusqu’à 200 ms.
Bien choisir son TLD en fonction des performances DNS certes, mais probablement pas de quoi s’en inquiéter trop.
Le DNS, système de noms de domaine, est un service au cœur du fonctionnement d’Internet. Il est fondamental pour le fonctionnement de nombreux services tels que les sites web, les serveurs mails, la téléphonie VoIP et bien d’autres.
Depuis plus de 30 ans, de nombreuses extensions et fonctionnalités ont été ajoutées au DNS, ce qui se traduit techniquement par une hausse de la complexité des infrastructures.
La technologie Blockchain pourrait être une évolution considérable pour le DNS, en apportant plusieurs avantages et nouvelles fonctionnalités.
_______________
Le DNS, un service fondamental
Le DNS, système de noms de domaine, est un service au cœur du fonctionnement d’Internet. Il fonctionne comme un annuaire public qui associe des noms de domaine à des ressources sur Internet, comme par exemple des adresses IP.
Lorsqu’un utilisateur saisit une adresse dans son navigateur, c’est donc un serveur DNS qui traduit cette adresse humainement compréhensible, en une adresse IP, compréhensible par les ordinateurs et les réseaux. C’est la résolution DNS.
Ce système, créé en 1983, est fondamental pour le fonctionnement de nombreux services tels que les sites web, les serveurs mails, la téléphonie VoIP et bien d’autres. Il est en constante évolution pour répondre à des besoins toujours plus importants en termes de fonctionnalités et de sécurité. En effet, le DNS doit garantir :
Disponibilité : une indisponibilité du service DNS entraînerait une coupure de services.
Intégrité : les données présentes sur le DNS (associées à un nom de domaine) ne doivent pas être corrompues.
Confidentialité : pour protéger la vie privée des utilisateurs, le DNS implémente différentes solutions qui permettent d’accroître la confidentialité des requêtes DNS. Si les requêtes ne sont pas confidentielles, il est possible d’analyser les informations de navigation des utilisateurs.
Le système de noms de domaine est basé sur un modèle de confiance centralisé. Il est distribué dans le monde entier et géré par différents acteurs de manière hiérarchique, en plusieurs niveaux ; un niveau racine, un premier niveau où sont gérées les extensions par les registres, puis un second niveau géré par les bureaux d’enregistrement. Le tout est orchestré par l’ICANN, l’autorité de régulation de l’Internet.
Depuis plus de 30 ans, de nombreuses extensions et fonctionnalités ont été ajoutées au DNS, ce qui se traduit techniquement par une hausse de la complexité des infrastructures.
La technologie Blockchain pourrait être une évolution considérable pour le DNS, en apportant plusieurs avantages et nouvelles fonctionnalités.
Blockchain et registre décentralisé
Une Blockchain est une structure de données accessible à tous et distribuée sur un réseau décentralisé ; les données sont répliquées sur chaque nœud du réseau, il n’y a pas d’autorité centrale. Tout le monde a la possibilité de lire son contenu, d’ajouter des données et même de rejoindre le réseau. Le concept a été implémenté la première fois en 2009 avec Bitcoin, mais il existe aujourd’hui de nombreuses technologies Blockchain, chacune avec des propriétés qui leur sont propres.
Les données sont inscrites sur une Blockchain via des transactions. Les transactions sont regroupées en blocs, chaque bloc est ensuite validé par le réseau puis mis bout à bout. Ainsi, une Blockchain contient l’historique de toutes les transactions effectuées depuis sa création.
Les règles de validation sont inscrites dans le protocole de la Blockchain, que chaque membre du réseau respecte. Pour garantir le respect de ses règles, les protocoles Blockchain s’appuient sur des algorithmes de consensus, le plus connu étant le Proof of Work. Ces algorithmes garantissent l’intégrité, l’immuabilité et la sécurité des données inscrites sur la Blockchain.
La technologie Blockchain répond à plusieurs besoins du DNS :
Disponibilité : un réseau décentralisé et pair à pair ne peut pas être arrêté. Cela pourrait remplacer ou compléter les infrastructures Anycast.
Intégrité : le protocole de consensus d’une Blockchain garantit, par nature, l’intégrité des données. De plus, les données ne peuvent pas être modifiées. Ces propriétés permettraient de se passer de DNSSEC, et de sa fameuse cérémonie de renouvellement des clés.
Confidentialité : Les requêtes effectuées pour lire les données de la Blockchain peuvent être encapsulées dans un canal HTTPS de la même manière que le protocole DNS over HTTPS (DoH). Les résolveurs DoH sont aujourd’hui peu nombreux, donc le trafic est centralisé autour d’un nombre limité d’acteurs. L’utilisation d’une Blockchain offrirait la possibilité d’interroger n’importe quel nœud du réseau, et limiterait donc ainsi la centralisation et les SPF (single point of failure).
Les données inclues dans les fichiers de zones DNS, c’est-à-dire les configurations des noms de domaine, pourraient donc être distribuées sur une Blockchain. Chaque acteur (registres, bureaux d’enregistrement) pourrait directement interagir avec cette Blockchain pour gérer les noms de domaine. C’est l’idée du DNS on Blockchain.
De nouveaux besoins
Ces dernières années, avec l’émergence des technologies Blockchain, de nouveaux moyens d’échange de valeurs se sont développés, notamment avec latokenisation, les crypto-actifs et les applications décentralisées (dapps); on parle deWeb 3.0, ou del’Internet de la valeur.
Les portefeuilles numériques et applications décentralisées fonctionnent avec des identifiants difficilement lisibles, comme par exemple 0x483add28edbd9f83fb5db0289c7ed48c83f55982 pour une adresse de portefeuille.
Pouvoir associer ce type d’adresse à des noms de domaine, au sein d’un système universel de nommage, pourrait avoir un réel intérêt pour les applications du Web de demain. Il serait possible d’avoir un portefeuille de cryptoactifs ou une application décentralisée configurée directement derrière un nom de domaine. Cela pourrait aussi se révéler utile pour l’identité numérique des entreprises et de leurs marques.
DNS on Blockchain, aujourd’hui
De nombreux projets de systèmes de nommage sur Blockchain sont actuellement en cours de développement, chacun avec sa propre implémentation.
Certaines applications proposent de nouvelles extensions de noms de domaine (TLD), comme le .bit, .zil, .crypto, .eth, etc. C’est notamment le cas deNamecoin et deUnstoppableDomains. Ces systèmes sont complètement indépendants du DNS traditionnel et de l’ICANN. L’enregistrement est directement géré par les utilisateurs, et la résolution des noms se fait en général à travers une extension de navigateur. Le navigateur Opera a récemment intégré nativement la résolution de ces noms de domaine.
Ces applications sont fonctionnelles et l’enregistrement des noms n’est pas contrôlé. Il y a donc beaucoup de cas de cybersquatting. Des utilisateurs enregistrent des noms dans l’espoir de les revendre et toucher une plus-value. Cela pose évidemment un problème pour les titulaires de marques, et empêchera certainement l’adoption de ces solutions par des entreprises.
D’autres projets proposent des solutions complémentaires au DNS.Ethereum Name Service (ENS) propose notamment un système de noms sur Blockchain qui s’intègre avec le DNS traditionnel. Si vous êtes titulaire d’un nom de domaine et pouvez le prouver avec un enregistrement DNSSEC, vous pouvez alors enregistrer ce même nom sur le service Blockchain. Cela permet de cumuler les avantages du DNS traditionnel et du DNS on Blockchain.
Les extensions .kred, .xyz et le .luxe supportent déjà cette intégration sur Blockchain, et ENS prévoit de la proposer pour toutes les extensions compatibles DNSSEC. Ce projet est assez prometteur, Ethereum Name Service a récemment rejoint le DNS-OARC (DNS Operations, Analysis, and Research Center).
Le projetHandshake propose quant à lui un protocole de nommage pour gérer le niveau racine du DNS, et fournir une alternative aux autorités de certification. Il remet en cause le modèle de confiance et de gouvernance du DNS, pour expérimenter un système plus décentralisé, sécurisé et résilient basé sur de la validation des zones DNS par les participants du réseau.
Conclusion
Le DNS on Blockchain pourrait être une évolution considérable du DNS; cela apporterait plusieurs avantages et de nouvelles fonctionnalités grâce à la technologie Blockchain, ce qui profiterait au développement du web décentralisé.
Cependant aujourd’hui, il n’y a pas encore de technologies et d’applications qui font l’unanimité, même si de nombreux projets et PoC sont en cours de développement. Ils n’ont pas encore une maturitésuffisante pour être utilisés à grande échelle. Des améliorations en termes de scalabilité, de sécurité et d’usage doivent être réalisées.
La collaboration des acteurs d’Internet (ICANN, DNS-OARC, registres) semble indispensable pour qu’une technologie fasse consensus et soit adoptée, notamment pour fixer des règles communes. C’est un sujet à suivre de près au cours des prochaines années.
Les sujets blockchains et crypto-actifs vous intéressent ? N’hésitez pas pour en savoir plus à consulter le site de notre collaborateur Steve Despres : https://cryptoms.fr/
Le DNS est au cœur de nombreux services stratégiques de l’Internet (mails – VoIP – site – applications etc.) et reste un élément central exposé à de nombreuses cybermenaces.
L’ANSSI, l’autorité nationale en matière de sécurité et de défense des systèmes d’information, liste différentes préconisations pour la sécurisation du DNS.
DOH, DOT, blockchain DNS, DNSSEC
font également l’actualité du DNS.
Notre expert aborde
ces différents sujets à travers ce webinar, avec au programme :
Définition du Domain Name System
L’importance du DNS
L’ANSSI et le DNS
Les tendances du DNS
Retrouvez ce webinar animé par Christophe GERARD, Security Product Manager de Nameshield Group, en replay sur la plateforme Webikeo :
Les sociétés de services financiers sont particulièrement touchées par les cyberattaques. Elles détiennent une mine d’informations sur les clients, protègent leur argent et fournissent des services essentiels qui doivent être disponibles jour et nuit. Elles constituent une cible lucrative. Parmi les angles d’attaques privilégiés : le DNS.
Le rapport annuel Global DNS Threat d’Efficient IP montre
une progression constante du nombre d’attaques sur le DNS et des impacts
financiers, avec une perte financière moyenne de 1,2 million d’euros sur
l’année 2019. Ce montant était estimé à 513 000 € en 2017 et 806 000
€ en 2018.
Si tous les secteurs d’activités sont touchés par les attaques,
82% des sociétés interrogées ont été touchées et 63% ont subi une interruption
de trafic, le secteur financier paie un tribut plus important avec 88%
d’impact. Menée auprès de 900 personnes de neuf pays d’Amérique du Nord,
d’Europe et d’Asie, l’étude indique que les établissements financiers ont subi
en moyenne 10 attaques au cours des 12 derniers mois, soit une augmentation de
37 % par rapport à l’année dernière.
La hausse des coûts n’est que l’une des conséquences des
attaques DNS pour le secteur des services financiers. Les impacts les plus
courants sont les temps d’arrêt des services cloud, rencontrés par 45% des
organisations financières, et les temps d’arrêt des applications internes
(68%). En outre, 47 % des établissements financiers ont été victimes
d’escroqueries par le biais d’attaques phishing ciblant le DNS.
L’enquête montre clairement l’insuffisance des mesures de
sécurité mises en place pour la sécurisation du DNS. Le retard dans
l’application des correctifs de sécurité constitue un problème majeur pour les
organisations du secteur. En 2018, 72% des entreprises interrogées admettaient
un délai de trois jours nécessaires pour installer un correctif de sécurité sur
leurs systèmes, durant lesquels ceux-ci ont été exposés aux attaques.
Seules 65% des institutions financières utilisent ou
envisagent d’intégrer une architecture DNS de confiance, elles semblent
toujours être en retard et ne pas prendre suffisamment conscience des risques
liés à ce point central de leur infrastructure. L’évolution des menaces sur le
DNS est permanente, les attaques nombreuses et complexes. Il convient de réagir
rapidement pour mieux se protéger.
Industrie, commerce, médias, télécoms, santé, éducation, gouvernement, service… autant d’autres secteurs touchés par les attaques. Des solutions existent. L’ANSSI publie chaque année le guide des bonnes pratiques en matière de résilience du DNS, détaillant de nombreuses recommandations pour être protégé. S’appuyer sur un réseau Anycast ; disposer de système de protection contre les attaques DDoS ; avoir du monitoring de trafic DNS et une équipe en mesure d’intervenir rapidement ; disposer d’une politique de sécurité efficace… Autant de mesures indispensables à la résilience et l’efficacité du réseau DNS face à ces attaques préjudiciables en termes d’impact financier et d’image. En espérant voir enfin de meilleurs chiffres sur le rapport 2020.
Le 29 octobre 1969, l’Université
de Californie à Los Angeles (UCLA) envoie à l’Institut de Recherche de Stanford,
le tout premier message électronique par le réseau Arpanet (Advanced Research Projects Agency Network), posant ainsi
les fondations du monde connecté d’aujourd’hui.
Arpanet, le précurseur d’Internet
Arpanet est le premier réseau à transfert de paquets de données développé par l’Agence des Projets de Recherche avancée (ARPA – Advanced Research Projects Agency), appartenant au département de la Défense des Etats-Unis.
Le premier nœud d’Arpanet a été installé à l’UCLA le 30 août 1969, le second à l’Institut de Recherche de Stanford le 1er octobre 1969. Le premier message a ainsi été envoyé entre ces deux institutions le 29 octobre 1969, par le professeur de sciences de l’UCLA, Leonard Kleinrock qui souhaitait envoyer le mot « login » mais à la suite d’un bug, seules les lettres « l » et « o » sont arrivées sans encombre jusqu’au destinataire, le mot entier ne sera transmis qu’une heure plus tard.
L’Arpanet connectait ainsi plusieurs universités et centres de recherches :
tout d’abord, l’Université de Californie à Los Angeles et l’Institut de
Recherche de Stanford, suivis de peu par l’Université de Californie à Santa
Barbara et l’Université d’Utah. Fin 1969, Arpanet comptait alors 4 nœuds, en
1971, 23 nœuds furent créés et 111 nœuds en 1977.
En 1983, l’Arpanet a été divisé en deux réseaux distincts : l’un militaire, le MILnet (Military Network) et l’autre universitaire, le NSFnet.
Le 1er janvier 1983, le nom « Internet », déjà en usage pour désigner l’ensemble d’Arpanet, est devenu alors officiel.
Les 30 ans du World Wide Web
En 1989, Tim Berners-Lee, un chercheur britannique travaillant au CERN (Organisation européenne pour la recherche nucléaire) a proposé un système hypertexte fonctionnant sur Internet. À l’origine, ce système a été conçu pour que des scientifiques travaillant dans des universités et des instituts du monde entier puissent s’échanger des informations instantanément. Sa vision d’une connectivité universelle devient le World Wide Web, qui a fait exploser l’usage d’Internet.
En 1993, Mosaic le pionnier des navigateurs web, a été créé par Marc Andreessen et Eric J.Bina, deux étudiants du National Center for Supercomputing Applications (NCSA) de l’Université de l’Illinois. Il ne s’agissait pas du premier navigateur graphique mais Mosaic était particulièrement rapide et permettait aux utilisateurs d’afficher les images au sein des pages, ce qui lui a valu une certaine popularité et a contribué à l’accroissement de la popularité du World Wide Web.
Internet Protocol – De l’IPv4 à l’IPv6
Le protocole Internet (IP – Internet Protocol) est une famille de
protocoles de communication de réseaux informatiques conçus pour être utilisés
sur Internet. Les protocoles IP permettent un service d’adressage unique pour
l’ensemble des terminaux connectés.
IPv4, la première version
principale a été inventée dans les années 70 et introduit au public en 1981. Elle
forme encore aujourd’hui, la base d’une grande partie des communications sur
Internet. Il y a 20 ans, l’IETF (Internet Engineering Task Force) a prédit
l’épuisement des adresses IPv4 et a commencé à travailler sur une nouvelle
version du protocole Internet : IPv6.
IPv4 utilise le schéma
d’adressage codé sur 32 bits pour supporter environ 4,3 milliards d’adresses
possibles, tandis qu’IPv6 dispose d’un espace d’adressage bien plus important
grâce à des adresses codées sur 128 bits, soit 3,4 × 1038 adresses
possibles.
DNS – Le Système des Noms de Domaine
A la demande de l’Agence des Projets de Recherche avancée du département de la Défense américaine, le DNS (Domain Name System – Système des noms de domaine) a été inventé en 1983 par Jon Postel et Paul Mockapetris, afin d’associer des adresses IP complexes à des noms humainement compréhensibles plus simples à retenir. Ainsi une adresse logique, le nom de domaine est associé à une adresse physique, l’adresse IP. Le nom de domaine et l’adresse IP sont uniques.
En 1998, est créé l’ICANN (Internet Corporation for Assigned Names and Numbers), l’autorité de régulation de l’Internet. Son rôle premier est d’allouer l’espace des adresses de protocole Internet, d’attribuer les identificateurs de protocole (IP), de gérer le système de noms de domaine de premier niveau pour les codes génériques (gTLD), d’attribuer les codes nationaux (ccTLD), et d’assurer les fonctions de gestion du système de serveurs racines.
Avec 351,8 millions
d’enregistrements de noms de domaine au premier trimestre 2019, les dépôts de
noms de domaine ne cessent d’augmenter, avec cependant en parallèle, une
augmentation du nombre des menaces visant le DNS.
L’émergence des cybermenaces
Considérée comme l’une des
premières cyberattaques et certainement la première à avoir attiré l’attention
des médias de masse, l’attaque du ver Morris (Morris Worm) a été lancée par un
étudiant de l’Université de Cornell, Robert Tappan Morris, en 1988. A
l’origine, le logiciel malveillant développé par l’étudiant n’avait pas pour
but de causer des dommages mais d’estimer tout simplement l’étendue d’Internet.
Ce ver a pourtant touché environ 10% des 60 000 machines estimées connectées
à Internet et les dommages causés étaient de l’ordre de 100 000 à 10
millions de dollars. Cet événement marque alors un tournant dans le domaine de
la sécurité en ligne.
Aujourd’hui, les cyberattaques
sont nombreuses, fréquentes et de plus en plus sophistiquées. L’évolution des
techniques et l’apparition de nouvelles technologies les rendent toujours plus
complexes et offrent de nouvelles opportunités aux attaquants.
Divers types de cyberattaque existent, tels que des attaques ciblant le DNS : DDoS, DNS cache poisoning, DNS spoofing, Man in the middle… (En 2019, selon l’IDC – International Data Corporation, 82% des entreprises mondiales ont fait face à une attaque DNS au cours de l’année écoulée) ou encore des attaques visant directement les utilisateurs et ayant pour objectif d’obtenir des informations confidentielles pour usurper une identité (phishing).
Ces attaques peuvent avoir des conséquences considérables pour les entreprises victimes. Par exemple, le coût d’une fuite de données est aujourd’hui en moyenne de 3,92 millions de dollars, selon IBM Security, ce coût a augmenté de 12% en 5 ans.
Un trafic IP estimé en 2022 plus important que celui généré de 1984 à 2016
Aujourd’hui, avec plus de 5
milliards de recherches faites sur Google chaque jour et l’e-commerce continuant
son avancée, les réseaux sociaux connaissant un véritable succès et le nombre
en constante augmentation des objets connectés, le volume du trafic sur
Internet a fortement augmenté.
En effet en 1974, le trafic sur Internet dépassait 3 millions de paquets par jour. Selon une étude de Cisco, en 2017, le trafic IP global était de 122 exaoctets par mois et la société estime que ce volume devrait atteindre 396 exaoctets d’ici 2022.
« La taille d’Internet et sa complexité continuent de croître d’une façon
que beaucoup n’auraient pu imaginer. Depuis que nous avons lancé nos prévisions
VNI en 2005, le trafic a été multiplié par 56 et a atteint un taux de
croissance annuel composé (TCAC) de 36 %, lié au nombre de plus en plus
important d’utilisateurs, d’appareils et d’applications accédant aux réseaux IP
», explique Jonathan Davidson, vice-président senior et directeur général du Service
Provider Business chez Cisco.
50 ans après la naissance d’Arpanet, l’ancêtre d’Internet, le monde compte aujourd’hui plus d’appareils connectés que de personnes. En 2022, les internautes représenteront 60 % de la population mondiale et plus de 28 milliards d’appareils se connecteront à Internet.
Le 24 février dernier le monde a pris conscience, à la suite d’un
communiqué de l’ICANN, que l’Internet pouvait s’arrêter à tout moment ! En
cause, la protection des noms de domaine et du DNS, pierre angulaire de l’accès
aux sites web.
Saviez-vous que la disponibilité de vos mails, sites et services
Internet dépend du Nom de Domaine?
Au programme de ce webinar à
destination des Grands Comptes, Entreprises publiques et privées, Online
Players et plus généralement des entreprises utilisant Internet comme canal de
communication et de diffusion :
Actualités en cybersécurité
Comprendre l’importance du DNS
Identifier les attaques visant le DNS et les
noms de domaine
Les bonnes pratiques pour se protéger
Retrouvez ce webinar animé par Christophe GERARD, Security Product Manager et Lucie LOOS, Directrice Marketing Experte cybersécurité de Nameshield group, en replay sur la plateforme Webikeo :
Les médias ont très largement relayé le
weekend dernier les méfaits d’une attaque à priori sans précédent et visant les
noms de domaine.
C’est en effet dans la nuit du 22 au 23 février que, l’ICANN a déclaré des attaques d’une grande envergure visant les noms de domaine : il s’agit de DNS hijacking. Ces attaques consistent « à remplacer les adresses des serveurs » autorisés « par des adresses de machines contrôlées par les attaquants », a expliqué l’organisme, permettant aux pirates d’interroger les données pour découvrir mots de passe, adresses mail etc., voire de capter complètement le trafic vers leurs serveurs.
Une vague d’attaques qui a débuté en novembre 2018
En réalité, il ne s’agit pas
d’une attaque, mais d’une vague d’attaques que le système des noms de domaine
subit depuis maintenant plusieurs semaines.
Dès la fin du mois de novembre
2018, une attaque visait le Liban et les Émirats Arabes Unis et avait affecté
les noms de domaine en .GOV. Dans cette première attaque, les cybercriminels
avaient procédé à du DNS hijacking.
Début janvier 2019, la société FireEye faisait état dans un article d’une vague de DNS hijacking affectant les noms de domaine appartenant au gouvernement et aux secteurs des télécommunications et d’Internet au Moyen-Orient, en Afrique du Nord, Europe et Amérique du Nord.
Si les pirates n’avaient pas été
alors identifiés, les premières recherches laissaient à penser que ces derniers
pourraient opérer depuis l’Iran.
Fait important quant à l’attaque
du 22 février : elle frappait cette fois-ci, parfois avec succès, des
acteurs importants de l’Internet.
En quoi ces attaques consistent-elles ?
La méthode employée est celle du DNS hijacking, déployé à grande
échelle. Il s’agit d’une attaque malicieuse, également appelée redirection DNS.
Son but : écraser les paramètres TCP/IP d’un ordinateur afin de le diriger
vers un serveur DNS pirate en lieu et place du serveur DNS officiel paramétré. Pour
ce faire, le pirate prend le contrôle via différentes techniques de la machine
cible pour altérer les configurations DNS.
Le gouvernement américain, entre
autres, a récemment tiré la sonnette d’alarme face à ces séries d’attaques très
sophistiquées dont le but serait de siphonner un important volume de mots de
passe. Ces attaques cibleraient plus spécifiquement les gouvernements et les
sociétés privées.
Entre DNS hijacking et cyberespionnage
Selon l’article de Talos de novembre 2018, les pirates derrière ces attaques auraient ainsi récupéré des emails et des informations de connexions (identifiants – mots de passe) en hijackant le DNS, faisant en sorte que le trafic des emails des institutions ciblées et le VPN (Virtual Private Networking) soient redirigés vers un serveur contrôlé par les cybercriminels.
Une fois les connecteurs
récupérés, d’autres attaques peuvent être lancées, telles que le
Man-In-The-Middle, à des fins d’espionnage.
Alors comment se protéger efficacement ?
Il faut être conscient que si ces
attaques visent prioritairement le système d’avitaillement des noms de domaine,
nous ne le dirons jamais assez, la
première porte d’entrée d’un pirate à votre portefeuille de noms de domaine est
vos accès plateforme de gestion.
La première et absolue recommandation est de protéger ses accès
Nameshield a mis en place, depuis de nombreuses années, des dispositifs de sécurisation de l’accès
au portail de gestion des noms de domaine (filtrage IP, ACL, HTTPS) et propose en sus l’authentification 2 facteurs et le SSO.
Si ces solutions complémentaires ne sont pas encore en place, Nameshield recommande
vivement de mettre en place ces solutions, tout
particulièrement la double factor
authentification, pour lutter contre les vols de mots de passe.
Mettre en place le protocole DNSSEC
La mise en place du protocole DNSSEC, s’il était bien plus largement déployé, aurait pu empêcher ou à tout le moins amoindrir l’impact de ces attaques, en limitant leurs conséquences.
Il devient plus
qu’urgent que DNSSEC soit désormais massivement adopté, tant au niveau des
résolveurs que des serveurs faisant autorité.
Protéger ses noms de domaine stratégiques
La mise en place d’un registry lock sur vos noms stratégiques empêchera les modifications frauduleuses de ces derniers.
Si aucune solution parfaite
n’existe aujourd’hui pour protéger à 100% les infrastructures des
cyberattaques, c’est l’application de
plusieurs mesures préventives combinées qui permettra de diminuer les
vulnérabilités exploitées (si) facilement par les pirates.
C’est une question qui revient régulièrement de la part de nos clients, est-ce que l’utilisation (bonne ou mauvaise) du DNS a un impact sur le référencement naturel (SEO) des sites web ? Nous avions déjà abordé l’impact du passage d’un site web en HTTPS sur le SEO, c’est ici l’occasion de se pencher sur le côté DNS.
Le DNS est un processus invisible, implémenté à l’arrière-plan et il est difficile de concevoir en quoi cela peut aider ou nuire aux performances d’un site Web et donc au classement dans les moteurs de recherche et plus particulièrement Google.
Cet
article abordera l’impact potentiel du DNS en réponse aux questions
suivantes :
La modification d’un enregistrement DNS affecte-t-elle
le référencement ?
Le changement de fournisseur DNS
affecte-t-il le référencement ?
Quelle partie du DNS joue dans une
migration de site ?
Le changement de l’adresse IP d’un site
Web affecte-t-il le référencement du site ?
Quid de l’implémentation de
DNSSEC ?
Une panne DNS peut-elle impacter le
référencement ?
Un DNS plus rapide peut-il améliorer le
référencement ?
Le
changement au niveau DNS affecte-t-il le référencement naturel ?
1. Modification d’un enregistrement DNS, attention au TTL
La redirection d’un nom de domaine vers le serveur web correspondant passe
souvent par la création d’un enregistrement de type A (adresse IPv4). L’enregistrement
A dirigera alors le trafic vers l’adresse IP du serveur Web de destination. La
modification de cet enregistrement peut entrainer des problèmes de
performances.
En effet, pour optimiser les temps de réponses, le système DNS permet la
mise en cache des informations auprès des serveurs DNS résolveurs pour une
durée donnée, la durée du TTL (Time to live) définie par le gestionnaire
technique du nom de domaine, lors de la configuration de celui-ci. Le TTL
habituel, tel que recommandé par l’ANSSI, est de plusieurs heures pour les
utilisations classiques des noms de domaine (sites web). Dans le cas d’une
modification d’un enregistrement A, celle-ci pourrait ainsi n’être prise en
compte qu’à la fin du TTL. Les internautes pourraient donc accéder aux
anciennes configurations d’enregistrement pendant encore quelques minutes ou
même plusieurs heures après les modifications.
Il est ainsi important de réduire les
TTL, ne serait-ce que de manière temporaire lors de ces modifications.
Mais cela affecte-t-il le référencement ? Oui et non. Dans le cas d’utilisateurs envoyés vers une destination qui n’existe plus, Google considérera cela comme une erreur 404. Au-delà de l’expérience utilisateur négative, ce n’est pas directement un facteur de référencement. Attention cependant à la présence éventuelle de backlinks et d’un nombre trop important d’erreurs 404. Un TTL bas permet ainsi de limiter l’impact lors de ces modifications.
2. Modification des DNS déclarés pour un nom de domaine
Un nom
de domaine est associé à des serveurs de noms (NS / Name Servers) qui
permettent la bonne résolution DNS. Le service DNS vient chercher l’information
sur ces NS. Ces NS peuvent être modifiés lors du changement du fournisseur
gestionnaire du nom de domaine, ou simplement pour passer d’une infrastructure
DNS à une autre. Le changement de serveur de noms affectera-t-il le
référencement ?
Selon le
fournisseur et l’infrastructure choisie, les temps de résolution pourront être
plus ou moins courts avec un impact potentiel d’amélioration ou de diminution
par rapport au SERP (Search Engine Result Page). En effet, le temps de
résolution est pris en compte par Google (voir ci-après).
Et comme
pour un changement d’enregistrement, il est conseillé de réduire la durée de
vie des enregistrements avant de modifier les serveurs de nom, afin que les DNS
résolveurs ne gardent pas en cache les anciennes informations.
3. Risque lié au DNS lors de la migration d’un site
C’est le même principe qu’abordé précédemment. Les modifications des
configurations DNS n’affectent pas directement le référencement, mais elles
risquent d’entraîner une mauvaise expérience utilisateur. Il convient également
de jouer sur les TTL.
Quels cas de figure sont à considérer ?
Changer de fournisseur d’hébergement Web
Changer de fournisseur d’hébergement DNS
Déplacement du trafic de www. vers un « domaine nu » (sans le www.)
Déplacement de votre domaine vers un CDN (réseau de diffusion de contenu)
4. Changement de l’adresse IP de destination
Non. Lors de la modification d’un enregistrement pointant d’un point de
terminaison à un autre, le référencement n’est pas impacté. La seule (très
rare) exception à cette règle serait de pointer un domaine vers un point de
terminaison qui aurait déjà été identifié comme un serveur de courrier
indésirable (par exemple l’adresse IP d’un serveur mutualisé).
Attention cependant à l’adresse IP en question, une des (nombreuses) règles
de référencement de Google est qu’une adresse IP utilisée par un site web
devrait se situer à proximité de l’utilisateur final.
5. Mise en place de DNSSEC
DNSSEC permet d’authentifier la résolution DNS via une chaine de confiance entre les différents serveurs DNS de cette résolution. Comme pour le HTTPS, c’est une couche de sécurité supplémentaire à mettre en place. Comme pour le HTTPS, le temps de chargement des pages est impacté et donc potentiellement le SEO associé. Pour autant, il faut remettre les choses en perspectives, DNSSEC est indispensable à la sécurité de navigation des internautes et il est préférable de le mettre en place. La plupart des sociétés proposant des audits de sécurité autour des noms de domaine considèrent DNSSEC comme nécessaire, et donc comme un critère de notation.
Des DNS
plus rapides améliorent-ils le référencement?
Google a admis que le temps de chargement d’une page a une incidence sur les résultats du SERP. Les temps de recherche DNS sont généralement inférieurs à une seconde, ils peuvent néanmoins affecter le chargement d’une page dans les cas suivants :
1. Pannes récurrentes sur l’infrastructure DNS
Lorsque qu’un
DNS ne parvient pas à résoudre ou prend plus de temps que d’habitude, cela peut
ajouter des secondes entières au temps de chargement d’une page. En cas de
manque de fiabilité et d’indisponibilité récurrente, l’impact sur le SEO est
avéré… sans parler de l’expérience utilisateur face à des échecs répétés
(augmentation du taux de rebond, baisse de la rétention des clients et impact
sur la confiance envers la marque, voire perte de revenus). Il est important de
s’appuyer sur une infrastructure fiable et de confiance.
2. Qualité
du réseau et points de présence
C’est de
la physique pure et simple, plus un serveur de noms est proche d’un utilisateur
final, moins il faut de temps pour répondre à sa requête. Les réseaux DNS dits
« anycast » (adressage et routage optimisé vers le serveur le
« plus proche » ou le « plus efficace »), disposant de nombreux
points de présence dans le monde, permettent d’optimiser les temps de réponse en
fonction notamment de la localisation géographique.
Un autre
point important est de disposer d’au moins trois serveurs de noms qui font
autorité (SOA) pour un nom de domaine, idéalement basés sur des noms de domaine
et sur des TLDs différents, afin de réduire le risque de SPOF (Single Point of
Failure) d’une infrastructure. En effet, si une infrastructure repose sur le
même nom de domaine, une indisponibilité de ce nom de domaine, quelle qu’en
soit la raison, entraine l’indisponibilité de l’infrastructure DNS. De même au
niveau des TLDs, et même si c’est moins probable, un problème de disponibilité du registre
affecterait l’ensemble de l’infrastructure DNS.
3. Attention
aux configurations DNS « à rallonge »
Il n’est pas rare d’avoir des configurations DNS qui envoient vers une
destination finale via plusieurs étapes, comme dans l’exemple ci-dessous. Dès
lors, le temps de résolution s’en trouve impacté et potentiellement la
performance en termes de référencement naturel.
fr.wikipedia.org. IN CNAME
text.wikimedia.org.
text.wikimedia.org. IN CNAME
text.esams.wikimedia.org.
text.esams.wikimedia.org. IN A
91.198.174.232
Conclusion
Le référencement naturel est une science qu’il faut considérer dans son ensemble. Ainsi, comme nous l’avions vu au travers de l’impact du passage d’un site web en HTTPS, il s’agit d’un facteur de référencement parmi d’autres, et toutes choses étant égales par ailleurs, alors il revêt une importance particulière pour se différencier sur la première page de résultats.
Il en est de même pour l’impact du DNS sur le SEO. Le DNS peut-il avoir un
impact ? Oui, clairement dans le cas de mauvaises configurations ou
d’infrastructures DNS ne permettant pas des temps de réponses suffisamment
rapides. Une infrastructure DNS dite anycast est primordiale pour tout nom de
domaine porteur de trafic web important, qui plus est à dimension
internationale. C’est une donnée à intégrer dans un tout et il convient de
porter cette réflexion dans une approche globale du SEO avec l’équipe web
marketing.
Nameshield utilise des cookies
Nameshield souhaite utiliser des cookies permettant d’assurer le bon fonctionnement du site et, avec nos partenaires, d’en mesurer son audience🍪.
Nameshield souhaite utiliser des cookies permettant d’assurer le bon fonctionnement du site et, avec nos partenaires, d’en mesurer son audience. Plus d'informations dans notre politique de cookies 🍪.
Ces cookies sont essentiels au bon fonctionnement du site web. Ils assurent les fonctionnalités de base et les fonctions de sécurité du site web, de manière anonyme.
Cookie
Durée
Description
cookielawinfo-checkbox-advertisement
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional
1 year
The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent
1 year
Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
Ces cookies aident à réaliser certaines fonctionnalités comme le partage du contenu du site web sur les plateformes de médias sociaux, la collecte de commentaires et d’autres fonctionnalités de tiers.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Ces cookies sont utilisés pour comprendre comment vous arrivez sur notre Site et pour mesurer le nombre de visiteurs.
Cookie
Durée
Description
_ga
2 years
The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_25904574_14
1 minute
Set by Google to distinguish users.
_gid
1 day
Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT
2 years
YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
Ces cookies sont utilisés pour vous proposer des offres et services personnalisés, plus adaptés à vos centres d’intérêts.
Cookie
Durée
Description
NID
6 months
NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
VISITOR_INFO1_LIVE
5 months 27 days
A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC
session
YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices
never
YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id
never
YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
![[INFOGRAPHIE] Les vulnérabilités de l’architecture DNS](https://blog.nameshield.com/fr/wp-content/uploads/sites/3/2020/05/Les-vulnérabilités-du-DNS-Nameshield-.png)
![[REPLAY WEBINAR] Se protéger du cybercrime : comprendre et appliquer les recommandations ANSSI visant le DNS](https://blog.nameshield.com/fr/wp-content/uploads/sites/3/2020/01/replay_Fil_RS.png)
