DNS Archives - Page 3 sur 4 - L'actualité cybersécurité, propriété intellectuelle et noms de domaine

Petit précis du DNS

Pour les non-initiés, l’informatique est un domaine assez magique où tout se résout plus ou moins tout seul. Quand ça ne fonctionne plus, c’est la catastrophe et on est perdu.

Certaines notions peuvent être un peu velues, mais le principe de fonctionnement est souvent assez simple. Il suffit de l’expliquer.

Parlons aujourd’hui du système de nom de domaine. C’est un système que tout le monde utilise au quotidien pour parcourir Internet et qui est très intéressant à explorer.

Les noms de domaine

Tous les services (site web, mail, jeux vidéo …) que vous utilisez sur Internet fonctionnent sur des serveurs. Pour avoir accès à un de ces services, il faut contacter le serveur correspondant et lui demander de livrer le service. Or le point de contact d’un serveur c’est son adresse IP.

On peut comparer ça à avoir la localisation (longitude et latitude) d’un endroit où l’on souhaite se rendre. Dans la théorie, on peut très bien se rendre n’importe où à partir de la longitude et latitude. Cependant, dans la réalité ce serait un enfer de se souvenir de chaque localisation. Et pour rendre ça viable, on utilise des adresses postales. Et bien pour l’informatique c’est pareil. Plutôt que de devoir se souvenir de chaque adresse IP, on a mis en place les noms de domaine.

Un nom de domaine c’est donc (en partie) ce que vous voyez inscrit dans la barre d’adresse en haut de votre navigateur quand vous arrivez sur un site. C’est « google.com », « linkedin.com » ou « nameshield.com ». On peut constater que le nom de domaine se compose d’une chaîne de caractères, qui correspond généralement au nom d’une marque, d’un produit ou d’un service, et d’une extension (« fr », « com », « net », …).

Si on reprend notre comparaison avec une localisation, une fois arrivé à destination, on peut encore affiner notre objectif en choisissant à quel étage on veut se rendre. De même, pour les noms de domaine, on peut préciser notre demande en ajoutant un « étage » à notre nom de domaine, qu’on appelle sous-domaine : « mail.google.com ». Ici, on a « mail » qui est le sous-domaine et « google.com » qui est le nom de domaine. À partir de là, on peut mettre autant de sous-domaines qu’on le souhaite : « sous-sous-domaine.sous-domaine.domaine.net », mais c’est assez peu utilisé.

Les extensions

Comme on a pu le voir juste avant, la partie la plus à droite du nom de domaine est ce qu’on appelle une extension. On peut également l’appeler domaine de premier niveau (Top Level Domain ou TLD). Contrairement au reste du nom de domaine qui peut être composé de n’importe quels caractères alphanumériques, le domaine de premier niveau est choisi dans une liste préexistante. La liste de ces extensions se découpe en quatre types :

· Les ccTLD (country code Top Level Domain) : ce sont des extensions de deux lettres identifiant un pays ou territoire indépendant. Par exemple, on a le « fr » pour la France, le « us » pour les États-Unis, ou le « tv » pour le Tuvalu.

· Les gTLD (generic Top Level Domain) : ce sont des extensions historiques de trois lettres ou plus prévues pour des utilisations générales. On retrouve par exemple le fameux « com » qui a été créé pour une utilisation commerciale, le « gov » pour le gouvernement ou le « org » pour les organisations.

· Les new gTLD (new generic Top Level Domain) : devant la croissance d’Internet, l’autorité responsable des noms de domaine a décidé en 2012 d’introduire de nouvelles extensions. On retrouve le « xyz », le « bank » ou le « sport ».

· Les corpTLD (corporate Top Level Domain) : c’est en fait une sous-catégorie de new gTLD. Elle est réservée aux organisations souhaitant posséder leur propre extension. On y retrouve « hbo » ou « lego ».

Les serveurs de nom de domaine

Maintenant que l’on comprend un peu mieux à quoi correspond cette notion, on peut se demander de quelle manière notre ordinateur récupère l’adresse IP cachée derrière un nom de domaine. On appelle cette opération « résolution d’un nom de domaine ». En fait, en regardant la configuration réseau de notre ordinateur, on peut retrouver un champ DNS (Domain Name Server) où l’on indique une adresse IP d’un serveur de nom de domaine à qui on va faire les demandes de résolution à chaque fois qu’on utilise un nom de domaine. Ce serveur peut être appelé « résolveur DNS ». On peut noter que pour ce service, on est obligé de spécifier une adresse IP étant donné que si ce champ n’est pas configuré on n’a aucun moyen de résoudre un nom de domaine et donc on ne peut pas récupérer l’IP cachée derrière.

Vous vous dites surement « C’est bien beau, mais moi je l’ai jamais changé ce paramètre et pourtant mon ordinateur arrive quand même à résoudre les noms de domaine ! ». Et en fait, c’est très simple, parce que vous n’avez pas non plus configuré votre adresse IP sur votre ordinateur ; vous l’avez branché à votre box Internet et la magie s’est opérée. Et bien, c’est pareil, c’est votre router Internet qui a décidé quel DNS vous alliez utiliser. Donc par défaut vous utilisez le résolveur de votre fournisseur d’accès Internet.

Cependant, ce ne sont que des valeurs par défaut, et vous pouvez tout à fait choisir d’utiliser d’autres résolveurs DNS. Vous pouvez choisir d’utiliser ceux d’un autre fournisseur d’accès, mais aussi ceux d’un autre fournisseur de service.

Choisir son résolveur DNS est important, car de là dépend (en partie) la vitesse de livraison d’un service (si le serveur met du temps à vous renvoyer une IP, vous mettrez forcément plus de temps à récupérer la page web) ; mais aussi la confidentialité de vos données, car comme c’est lui qui résout tous vos noms de domaine, il connait tous les services que vous cherchez à joindre.

La résolution des noms de domaine

Un serveur de nom de domaine est donc une base de données de couple nom de domaine / adresse IP. Cependant, chaque serveur DNS ne contient pas la liste d’absolument tous les noms de domaine qui existent. Cela formerait des bases de données titanesques, ce serait un vrai calvaire à mettre à jour et ça serait des passoires en termes de sécurité.

Avant de rentrer dans le détail du cheminement d’une demande de résolution de nom de domaine, il va être indispensable, pour ne pas se perdre, de définir certaines notions relatives au DNS et notamment les différents types de serveurs DNS qui existent (parce que oui, il en existe différent, ce serait beaucoup trop simple sinon).

Notions importantes

ICANN : C’est l’Internet Corporation for Assigned Names and Numbers (Société pour l’attribution des noms de domaine et des numéros sur Internet). C’est une autorité de régulation d’Internet de droit privé et à but non lucratif. Elle a pour objectif l’administration des ressources numériques d’Internet telles que l’adressage IP et la gestion des domaines de premier niveau (vous vous souvenez, les TLDs).

Serveur récursif : Ce sont les serveurs que l’on imagine quand on parle de serveur DNS. Ce sont ceux qu’on configure dans le fameux champ DNS de notre configuration réseau et ce sont eux qui se débrouillent pour aller chercher l’adresse IP que l’on souhaite à partir d’un nom de domaine. Ces serveurs ont aussi une fonction de « cache », c’est-à-dire que lorsqu’on leur demande un nom de domaine qu’ils ne connaissent pas, ils font la recherche puis ils gardent l’information en mémoire au cas où on leur redemande. Il ne garde bien sûr cette information qu’un certain temps avant de devoir renouveler leur recherche (au cas où il y a eu une modification relative à ce nom de domaine).

Serveur Racine : Ce sont les treize serveurs gérés par l’ICANN qui ont pour objectif d’indiquer où se situent les serveurs responsables de chacun de domaine de premier niveau.

Serveur TLD : Ce sont les serveurs responsables de chacun des domaines de premier niveau. On retrouve un serveur pour le « fr », un serveur pour le « com », … (En vrai cela est plus complexe que « un serveur pour un TLD », mais l’idée globale est là). Et ces serveurs de noms de domaine répertorient le serveur faisant autorité pour chacun des noms de domaine qu’ils gèrent.

Serveur faisant autorité : Ce sont sur ces serveurs sur lesquels se retrouve l’information que l’on cherche, c’est-à-dire l’IP correspondant à un nom de domaine. Lorsqu’on modifie une information relative à un nom de domaine, c’est sur ces serveurs qu’elle est modifiée.

Le chemin de la résolution

Maintenant qu’on voit un peu plus clair dans les termes, on commence à distinguer un schéma qui se dessine ; schéma que je vais m’empresser de vous expliquer. D’après ce que je vous ai déjà dit, on sait que le serveur DNS configuré sur votre ordinateur (le serveur récursif) ne connait pas tous les noms de domaine qui existent, il doit donc trouver un moyen d’apprendre l’IP d’un nom de domaine qu’il ne connait pas. La recherche se fait de manière hiérarchique.

Pour comprendre comment ça marche, on va suivre le cheminement d’une demande de résolution d’un nom de domaine. Imaginons que l’on veut résoudre « www.nameshield.com ».

1. Notre ordinateur va commencer par faire une demande au serveur récursif qu’il a de configuré. On va dire qu’on est chez Orange, et on demande donc au serveur « 80.10.401.2 » : « Est-ce que tu connais l’adresse IP qui se trouve derrière le nom de domaine www.nameshield.com ? ». C’est une adresse que personne n’a jamais demandée au serveur DNS d’Orange (on va faire comme si c’était le cas) et du coup il ne connait pas la réponse.

2. Ne voulant pas rester dans l’ignorance, il va aller chercher cette information. Pour ce faire, il va aller interroger un des serveurs racines : « Dis-moi serveur racine, je dois résoudre www.nameshield.com, or je ne connais pas ce nom de domaine, peux-tu m’aider ? ». Ce à quoi le serveur racine va répondre « Hum… tu devrais demander à 192.134.4.1, c’est lui qui gère les .com ».

3. Le serveur récursif d’Orange va donc répéter sa question au serveur TLD du .com qui va lui répondre : « nameshield.com ? C’est un nom qui est enregistré chez Nameshield ça. Demande à 255.341.209.423 ».

4. Pour la troisième fois, notre serveur récursif pose la question au serveur faisant autorité qui lui répond « Bien sûr que je connais www.nameshield.com, c’est moi qui le gère ! Tu peux le trouver à 81.92.80.11 ».

5. Tout fier d’avoir enfin la réponse, notre serveur récursif nous la transmet et on peut alors contacter le serveur qui se cache derrière nameshield.com via son adresse IP.

Bien évidemment, on est en informatique et tous ces échanges ne prennent que quelques centièmes de secondes. Mais, on est toujours soucieux de gagner du temps, et donc le serveur récursif va garder l’information qu’on vient de lui demander en mémoire (au moins pendant quelques minutes), comme ça si on lui redemande 20 secondes plus tard, il ne va pas déranger les autres serveurs.

Conclusion

En dehors du milieu technique, on entend assez peu parler du système de nom de domaine (DNS), or c’est une notion qui mérite d’être connue, car c’est un vecteur important pour toute organisation. En effet, l’influence des noms de domaine se retrouve à tous les niveaux :

· Le nom de domaine représente une marque, un produit, une organisation, … il est donc important de le protéger. Il faut penser aux différentes possibilités lors de l’enregistrement pour pas que quelqu’un d’autre puisse le réserver et nuire à votre image.

· La configuration du serveur récursif que l’on va mettre en place sur notre machine va jouer sur la vitesse de votre Internet, mais aussi la confidentialité de vos données.

· La disponibilité de tout Internet dépend de la disponibilité du système de nom de domaine. Si les serveurs racine, TLD ou faisant autorité tombent, on n’a plus accès à aucun service.

Tout ça pour dire, que le DNS, c’est complexe, mais c’est crucial !

Source de l’image : storyset.com

Nouvelle fiche : 5 minutes pour comprendre la résolution DNS des noms de domaine

Fiche 5 minutes pour comprendre - Résolution DNS des noms de domaine - Nameshield

L’homme a une très mauvaise mémoire des suites de chiffres. Or les ordinateurs et serveurs communiquent entre eux en s’identifiant via une adresse IP, suite de nombres ou mix de chiffres et nombres sensiblement complexe à mémoriser et différencier.

Pour aider les hommes dans leurs communications sur les réseaux, le Système de Noms de Domaine (DNS) a été inventé. Ce service est un annuaire géant de l’Internet, hiérarchisé et distribué au plan mondial, qui fait correspondre des noms de domaine avec des adresses IP.

Lorsqu’un internaute saisit un nom de domaine dans son navigateur, celui-ci interroge un serveur DNS qui va rechercher la réponse à cette adresse humainement compréhensible, le plus souvent une adresse IP, menant au bon site web, ordinateur ou réseau. On appelle ce processus d’interrogation la «résolution DNS».

Découvrez dans cette fiche « 5 minutes pour comprendre », disponible en téléchargement sur le site de Nameshield, le fonctionnement de la résolution DNS.

Télécharger la fiche

L’importance du reverse DNS

DNS inversé - Reverse DNS — *Source de l’image : Jonbonsilver via Pixabay*

Le DNS inversé (ou reverse DNS) est souvent méconnu des gestionnaires de noms de domaine, en particulier quand les noms sont hébergés par de grandes sociétés d’hébergement. Le DNS inversé permet de faire une résolution depuis une adresse IP vers un FQDN. C’est l’exact opposé de l’utilisation classique du DNS qui fait correspondre des noms de domaine avec des adresses IP. Le reverse DNS permet de répondre à la question : j’ai une adresse IP, quel est le FQDN qui s’y rapporte ?

Le reverse DNS fonctionne via la création d’une zone DNS reverse dans laquelle des enregistrements DNS PTR (pour Pointer Record) vont être configurés.

DNS classique : Record A : on connaît le nom d’un site et on souhaite récupérer son adresse IP…
DNS inversé PTR : on connaît une adresse IP et on souhaite récupérer le nom du site.

Le système de résolution se construit de manière similaire à la résolution classique. Pour opérer la résolution DNS, l’adresse IP à interroger est configurée dans la zone reverse avec le suffixe .arpa et pointe vers la destination requise. Le principe est le même pour les adresses IP v4 et v6 selon la construction suivante :

Ex: IPv4 : 11.80.92.81.in-addr.arpa. IN PTR capp.perf1.com.

Ex: IPv6 : 0.0.0.0.0.0.0.0.0.1.0.1.0.0.0.0.0.8.c.0.0.1.0.a.2.ip6.arpa. 4080 IN PTR capp.perf1.com.

Cette construction permet d’opérer une résolution DNS classique sur un nom de domaine avec une extension «.arpa».

Pourquoi est-ce si important ?

Le DNS inversé est principalement utilisé pour le suivi de la provenance d’un visiteur du site Web, de l’origine d’un message électronique, etc. Il n’est généralement pas aussi critique que le DNS classique, les visiteurs atteindront le site Web même sans la présence de DNS inversé pour l’IP du serveur Web ou l’IP du visiteur.

Cependant, le DNS inversé est important pour une application particulière : la messagerie.

De nombreux serveurs de messagerie sur Internet sont en effet configurés pour rejeter les e-mails entrants provenant de toute adresse IP qui n’a pas de DNS inversé. Pour celui qui gère son propre serveur de messagerie, le DNS inversé doit exister pour l’adresse IP à partir de laquelle le courrier électronique sortant est envoyé.

Peu importe l’adresse vers laquelle pointe l’enregistrement DNS inversé de l’adresse IP, un enregistrement reverse est attendu. Dans le cas d’hébergement de plusieurs domaines sur un même serveur de messagerie, il suffit de configurer le DNS inversé pour pointer vers le nom de domaine considéré comme principal (Les serveurs de messagerie vérifiant le DNS inversé reconnaissent qu’il est normal d’héberger de nombreux domaines sur une seule adresse IP et qu’il serait impossible de répertorier tous ces domaines dans le DNS inversé pour l’IP).

Nous vous recommandons de vérifier la possibilité de paramétrer un DNS inversé auprès de votre solution d’hébergement DNS.

[INFOGRAPHIE] Les vulnérabilités de l’architecture DNS

Le DNS est au cœur des services critiques de l’entreprise : Internet, e-mail, applications… Il doit rester disponible et avoir un niveau élevé de sécurité. En effet une interruption de services aurait de lourdes conséquences pour les entreprises victimes.

Pourtant, le DNS est bien souvent l’infrastructure la moins sécurisée d’une entreprise et est exposé à de nombreuses attaques potentielles.

Découvrez dans cette nouvelle infographie, disponible en téléchargement sur le site de Nameshield, quelles sont les vulnérabilités de l’architecture DNS, les différentes attaques et comment assurer la disponibilité et la protection des services en ligne.

Infographie Les vulnérabilités du DNS - Nameshield

DECOUVRIR

Bien choisir son TLD en fonction des performances DNS

Analyse comparative des domaines de premier niveau, les fameux Top Level Domains (.com, .fr…)

Le nerf de la guerre des sites web à forte visibilité est le temps de téléchargement. Facteur de référencement naturel admis par Google, ce temps de téléchargement peut être impacté significativement lors de la résolution DNS. S’il convient de s’appuyer sur une infrastructure DNS de premier ordre, le choix de l’extension associée à un nom de domaine a son importance. En effet, les registres ne sont pas tous aussi performants les uns que les autres en matière de DNS, pour ne pas dire que certains affichent des performances décevantes. L’offre en matière de TLD (près de 1400) a largement augmenté depuis le programme des nouvelles extensions de l’ICANN. Analyse à suivre.

Petit retour sur le temps de résolution DNS et son impact sur le temps de chargement

La résolution d’un domaine tel que nameshield.net suit plusieurs étapes avant de pouvoir contacter le serveur de contenu. Le résolveur DNS contacte les serveurs DNS racines (.), puis les serveurs DNS du registre de l’extension concernée (.net) afin d’obtenir la liste des serveurs DNS responsables du domaine, et enfin ces serveurs DNS pour obtenir la réponse demandée. La réponse obtenue est certes mise en cache par le DNS résolveur (généralement géré par le FAI), mais ce ne sera pas toujours le cas en fonction de la popularité de votre domaine.

Cela signifie que si le DNS du domaine de premier niveau (.net) est lent, il peut en fait retarder la résolution DNS pour le domaine lui-même et, dans le pire des cas très improbable, même provoquer une panne. Vous ne pouvez pas y faire grand-chose à part bien choisir le fameux TLD.

Hiérachie DNS - Choisir son TLD en fonction des performances DNS - Nameshield

Analyse comparative

Bunny CDN, un acteur slovène de la livraison de contenu a mené la surprenante analyse suivante. S’appuyant sur leur réseau mondial, ils ont surveillé les performances DNS dans le monde entier à partir de plus de 50 sites et réseaux.

Pour chaque domaine de premier niveau, leur système a choisi un serveur de noms aléatoire publié pour chacun des domaines de premier niveau et a interrogé un nom de domaine également aléatoire. Les résultats ont été groupés par région et les données enregistrées toutes les 10 secondes.

Résultats

Ils ont testé 42 des domaines de premier niveau les plus populaires, puis agrégé les résultats en une moyenne médiane mondiale et une agrégation à 85 centiles (les 15% de réponses les plus lentes n’ont pas été prises en compte). Ces tests ont été effectués uniquement à partir de leur réseau, une étude plus complète mériterait certainement d’être menée, mais ils offrent un bon aperçu général.

TLD - DNS resolution time - Choisir son TLD en fonction des performances DNS — *Source : BunnyCDN*

Des résultats ont été assez surprenants

Les domaines les plus étonnants concernent les .info et .org qui ont montré des performances vraiment médiocres, en particulier dans la plage de 85 centiles, et ce malgré leur ancienneté et les millions de domaines enregistrés. Il semble que 4 des 6 serveurs de noms fonctionnent extrêmement mal, ce qui explique les mauvais résultats.

Le .net et le .com ont été très légèrement plus lents qu’attendu en Europe et en Amérique du Nord, mais offrent par ailleurs des performances excellentes et stables dans toutes les régions, visibles dans la médiane mondiale. Le .net et le .com ont des réseaux beaucoup plus grands, mais restent un choix très intéressant pour obtenir les performances maximales absolues.

Moins attendue, la performance des TLD .co, .biz et .in, bien en avance sur les autres.

Certains nouveaux domaines (.online, .top, .blog…) attirants sur le plan marketing et en forte croissance, montrent des performances décevantes…

… à l’inverse de très bonnes surprises pour .live, .email, .news, gérés par Donuts Inc ou encore .club et .buzz gérés par Neustar Inc, avec cependant une très forte baisse des performances dans des régions en dehors de l’Europe et de l’Amérique du Nord, ce qui aggrave encore le problème.

42 TLD parmi les plus populaires des 1400+ disponibles ont été testés. Sans tirer de conclusion définitive, nous pouvons supposer que beaucoup pourraient ne pas fonctionner beaucoup mieux.

Conclusion

Faut-il révolutionner la gestion de votre portefeuille de noms de domaine et le choix des TLD pour vos sites les plus visibles ? Faut-il tout passer en .biz ou en .co immédiatement pour augmenter les performances ?

Certainement pas. Tout d’abord, les réponses DNS sont fortement mises en cache, en particulier pour les sites Web très populaires, les résolveurs peuvent ne pas avoir besoin de toucher beaucoup de serveurs de noms de niveau supérieur. Ensuite, le choix d’un nom de domaine répond avant tout à des impératifs marketing (marque, zone géographique, disponibilité du nom) souvent bien plus impactants que les 50 millisecondes supplémentaires de temps de chargement pour le chargement de la première page.

Cependant, si vous essayez de comprimer absolument tous les derniers bits de performances et d’assurer une grande fiabilité dans un système où chaque dernière milliseconde compte, alors vous voudrez peut-être réfléchir à deux fois avant de choisir votre domaine. Les différences ne sont pas énormes, mais si vous visez à atteindre ce temps de chargement d’une seconde, les choses s’accumulent, dans certains cas, jusqu’à 200 ms.

Bien choisir son TLD en fonction des performances DNS certes, mais probablement pas de quoi s’en inquiéter trop.

DNS on Blockchain : la prochaine évolution des noms de domaine ?

DNS on Blockchain - Nameshield — *Source de l’image : TheDigitalArtist via Pixabay*

Résumé

Le DNS, système de noms de domaine, est un service au cœur du fonctionnement d’Internet. Il est fondamental pour le fonctionnement de nombreux services tels que les sites web, les serveurs mails, la téléphonie VoIP et bien d’autres.

Depuis plus de 30 ans, de nombreuses extensions et fonctionnalités ont été ajoutées au DNS, ce qui se traduit techniquement par une hausse de la complexité des infrastructures.

La technologie Blockchain pourrait être une évolution considérable pour le DNS, en apportant plusieurs avantages et nouvelles fonctionnalités.

_______________

Le DNS, un service fondamental

Le DNS, système de noms de domaine, est un service au cœur du fonctionnement d’Internet. Il fonctionne comme un annuaire public qui associe des noms de domaine à des ressources sur Internet, comme par exemple des adresses IP.

Lorsqu’un utilisateur saisit une adresse dans son navigateur, c’est donc un serveur DNS qui traduit cette adresse humainement compréhensible, en une adresse IP, compréhensible par les ordinateurs et les réseaux. C’est la résolution DNS.

DNS - DNS on Blockchain - Nameshield - Steve Despres

Ce système, créé en 1983, est fondamental pour le fonctionnement de nombreux services tels que les sites web, les serveurs mails, la téléphonie VoIP et bien d’autres. Il est en constante évolution pour répondre à des besoins toujours plus importants en termes de fonctionnalités et de sécurité. En effet, le DNS doit garantir :

Disponibilité : une indisponibilité du service DNS entraînerait une coupure de services.
Intégrité : les données présentes sur le DNS (associées à un nom de domaine) ne doivent pas être corrompues.
Confidentialité : pour protéger la vie privée des utilisateurs, le DNS implémente différentes solutions qui permettent d’accroître la confidentialité des requêtes DNS. Si les requêtes ne sont pas confidentielles, il est possible d’analyser les informations de navigation des utilisateurs.

Le système de noms de domaine est basé sur un modèle de confiance centralisé. Il est distribué dans le monde entier et géré par différents acteurs de manière hiérarchique, en plusieurs niveaux ; un niveau racine, un premier niveau où sont gérées les extensions par les registres, puis un second niveau géré par les bureaux d’enregistrement. Le tout est orchestré par l’ICANN, l’autorité de régulation de l’Internet.

Noms de domaine - DNS on Blockchain - Nameshield - Steve Despres

Depuis plus de 30 ans, de nombreuses extensions et fonctionnalités ont été ajoutées au DNS, ce qui se traduit techniquement par une hausse de la complexité des infrastructures.

La technologie Blockchain pourrait être une évolution considérable pour le DNS, en apportant plusieurs avantages et nouvelles fonctionnalités.

Blockchain et registre décentralisé

Une Blockchain est une structure de données accessible à tous et distribuée sur un réseau décentralisé ; les données sont répliquées sur chaque nœud du réseau, il n’y a pas d’autorité centrale. Tout le monde a la possibilité de lire son contenu, d’ajouter des données et même de rejoindre le réseau. Le concept a été implémenté la première fois en 2009 avec Bitcoin, mais il existe aujourd’hui de nombreuses technologies Blockchain, chacune avec des propriétés qui leur sont propres.

Les données sont inscrites sur une Blockchain via des transactions. Les transactions sont regroupées en blocs, chaque bloc est ensuite validé par le réseau puis mis bout à bout. Ainsi, une Blockchain contient l’historique de toutes les transactions effectuées depuis sa création.

Les règles de validation sont inscrites dans le protocole de la Blockchain, que chaque membre du réseau respecte. Pour garantir le respect de ses règles, les protocoles Blockchain s’appuient sur des algorithmes de consensus, le plus connu étant le Proof of Work. Ces algorithmes garantissent l’intégrité, l’immuabilité et la sécurité des données inscrites sur la Blockchain.

Blockchain - DNS on Blockchain - Nameshield - Steve Despres

La technologie Blockchain répond à plusieurs besoins du DNS :

Disponibilité : un réseau décentralisé et pair à pair ne peut pas être arrêté. Cela pourrait remplacer ou compléter les infrastructures Anycast.
Intégrité : le protocole de consensus d’une Blockchain garantit, par nature, l’intégrité des données. De plus, les données ne peuvent pas être modifiées. Ces propriétés permettraient de se passer de DNSSEC, et de sa fameuse cérémonie de renouvellement des clés.
Confidentialité : Les requêtes effectuées pour lire les données de la Blockchain peuvent être encapsulées dans un canal HTTPS de la même manière que le protocole DNS over HTTPS (DoH). Les résolveurs DoH sont aujourd’hui peu nombreux, donc le trafic est centralisé autour d’un nombre limité d’acteurs. L’utilisation d’une Blockchain offrirait la possibilité d’interroger n’importe quel nœud du réseau, et limiterait donc ainsi la centralisation et les SPF (single point of failure).

Les données inclues dans les fichiers de zones DNS, c’est-à-dire les configurations des noms de domaine, pourraient donc être distribuées sur une Blockchain. Chaque acteur (registres, bureaux d’enregistrement) pourrait directement interagir avec cette Blockchain pour gérer les noms de domaine. C’est l’idée du DNS on Blockchain.

De nouveaux besoins

Ces dernières années, avec l’émergence des technologies Blockchain, de nouveaux moyens d’échange de valeurs se sont développés, notamment avec la tokenisation, les crypto-actifs et les applications décentralisées (dapps); on parle de Web 3.0, ou de l’Internet de la valeur.

Moyens échange de valeurs - DNS on Blockchain - Nameshield - Steve Despres

Les portefeuilles numériques et applications décentralisées fonctionnent avec des identifiants difficilement lisibles, comme par exemple 0x483add28edbd9f83fb5db0289c7ed48c83f55982 pour une adresse de portefeuille.

Pouvoir associer ce type d’adresse à des noms de domaine, au sein d’un système universel de nommage, pourrait avoir un réel intérêt pour les applications du Web de demain. Il serait possible d’avoir un portefeuille de cryptoactifs ou une application décentralisée configurée directement derrière un nom de domaine. Cela pourrait aussi se révéler utile pour l’identité numérique des entreprises et de leurs marques.

DNS on Blockchain, aujourd’hui

De nombreux projets de systèmes de nommage sur Blockchain sont actuellement en cours de développement, chacun avec sa propre implémentation.

Certaines applications proposent de nouvelles extensions de noms de domaine (TLD), comme le .bit, .zil, .crypto, .eth, etc. C’est notamment le cas de Namecoin et de UnstoppableDomains. Ces systèmes sont complètement indépendants du DNS traditionnel et de l’ICANN. L’enregistrement est directement géré par les utilisateurs, et la résolution des noms se fait en général à travers une extension de navigateur. Le navigateur Opera a récemment intégré nativement la résolution de ces noms de domaine.

Ces applications sont fonctionnelles et l’enregistrement des noms n’est pas contrôlé. Il y a donc beaucoup de cas de cybersquatting. Des utilisateurs enregistrent des noms dans l’espoir de les revendre et toucher une plus-value. Cela pose évidemment un problème pour les titulaires de marques, et empêchera certainement l’adoption de ces solutions par des entreprises.

DNS on Blockchain - Nameshield - Steve Despres

D’autres projets proposent des solutions complémentaires au DNS. Ethereum Name Service (ENS) propose notamment un système de noms sur Blockchain qui s’intègre avec le DNS traditionnel. Si vous êtes titulaire d’un nom de domaine et pouvez le prouver avec un enregistrement DNSSEC, vous pouvez alors enregistrer ce même nom sur le service Blockchain. Cela permet de cumuler les avantages du DNS traditionnel et du DNS on Blockchain.

Les extensions .kred, .xyz et le .luxe supportent déjà cette intégration sur Blockchain, et ENS prévoit de la proposer pour toutes les extensions compatibles DNSSEC. Ce projet est assez prometteur, Ethereum Name Service a récemment rejoint le DNS-OARC (DNS Operations, Analysis, and Research Center).

Le projet Handshake propose quant à lui un protocole de nommage pour gérer le niveau racine du DNS, et fournir une alternative aux autorités de certification. Il remet en cause le modèle de confiance et de gouvernance du DNS, pour expérimenter un système plus décentralisé, sécurisé et résilient basé sur de la validation des zones DNS par les participants du réseau.

Conclusion

Le DNS on Blockchain pourrait être une évolution considérable du DNS; cela apporterait plusieurs avantages et de nouvelles fonctionnalités grâce à la technologie Blockchain, ce qui profiterait au développement du web décentralisé.

Cependant aujourd’hui, il n’y a pas encore de technologies et d’applications qui font l’unanimité, même si de nombreux projets et PoC sont en cours de développement. Ils n’ont pas encore une maturité suffisante pour être utilisés à grande échelle. Des améliorations en termes de scalabilité, de sécurité et d’usage doivent être réalisées.

La collaboration des acteurs d’Internet (ICANN, DNS-OARC, registres) semble indispensable pour qu’une technologie fasse consensus et soit adoptée, notamment pour fixer des règles communes. C’est un sujet à suivre de près au cours des prochaines années.

Les sujets blockchains et crypto-actifs vous intéressent ? N’hésitez pas pour en savoir plus à consulter le site de notre collaborateur Steve Despres : https://cryptoms.fr/

[REPLAY WEBINAR] Se protéger du cybercrime : comprendre et appliquer les recommandations ANSSI visant le DNS

Le DNS est au cœur de nombreux services stratégiques de l’Internet (mails – VoIP – site – applications etc.) et reste un élément central exposé à de nombreuses cybermenaces.

L’ANSSI, l’autorité nationale en matière de sécurité et de défense des systèmes d’information, liste différentes préconisations pour la sécurisation du DNS.

DOH, DOT, blockchain DNS, DNSSEC font également l’actualité du DNS.

Notre expert aborde ces différents sujets à travers ce webinar, avec au programme :

Définition du Domain Name System
L’importance du DNS
L’ANSSI et le DNS
Les tendances du DNS

Retrouvez ce webinar animé par Christophe GERARD, Security Product Manager de Nameshield Group, en replay sur la plateforme Webikeo :

VISIONNER LE REPLAY

Le secteur financier, cible d’attaques sur le DNS de plus en plus coûteuses

Les sociétés de services financiers sont particulièrement touchées par les cyberattaques. Elles détiennent une mine d’informations sur les clients, protègent leur argent et fournissent des services essentiels qui doivent être disponibles jour et nuit. Elles constituent une cible lucrative. Parmi les angles d’attaques privilégiés : le DNS.

Le rapport annuel Global DNS Threat d’Efficient IP montre une progression constante du nombre d’attaques sur le DNS et des impacts financiers, avec une perte financière moyenne de 1,2 million d’euros sur l’année 2019. Ce montant était estimé à 513 000 € en 2017 et 806 000 € en 2018.

Si tous les secteurs d’activités sont touchés par les attaques, 82% des sociétés interrogées ont été touchées et 63% ont subi une interruption de trafic, le secteur financier paie un tribut plus important avec 88% d’impact. Menée auprès de 900 personnes de neuf pays d’Amérique du Nord, d’Europe et d’Asie, l’étude indique que les établissements financiers ont subi en moyenne 10 attaques au cours des 12 derniers mois, soit une augmentation de 37 % par rapport à l’année dernière.

La hausse des coûts n’est que l’une des conséquences des attaques DNS pour le secteur des services financiers. Les impacts les plus courants sont les temps d’arrêt des services cloud, rencontrés par 45% des organisations financières, et les temps d’arrêt des applications internes (68%). En outre, 47 % des établissements financiers ont été victimes d’escroqueries par le biais d’attaques phishing ciblant le DNS.

L’enquête montre clairement l’insuffisance des mesures de sécurité mises en place pour la sécurisation du DNS. Le retard dans l’application des correctifs de sécurité constitue un problème majeur pour les organisations du secteur. En 2018, 72% des entreprises interrogées admettaient un délai de trois jours nécessaires pour installer un correctif de sécurité sur leurs systèmes, durant lesquels ceux-ci ont été exposés aux attaques.

Seules 65% des institutions financières utilisent ou envisagent d’intégrer une architecture DNS de confiance, elles semblent toujours être en retard et ne pas prendre suffisamment conscience des risques liés à ce point central de leur infrastructure. L’évolution des menaces sur le DNS est permanente, les attaques nombreuses et complexes. Il convient de réagir rapidement pour mieux se protéger.

Industrie, commerce, médias, télécoms, santé, éducation, gouvernement, service… autant d’autres secteurs touchés par les attaques. Des solutions existent. L’ANSSI publie chaque année le guide des bonnes pratiques en matière de résilience du DNS, détaillant de nombreuses recommandations pour être protégé. S’appuyer sur un réseau Anycast ; disposer de système de protection contre les attaques DDoS ; avoir du monitoring de trafic DNS et une équipe en mesure d’intervenir rapidement ; disposer d’une politique de sécurité efficace… Autant de mesures indispensables à la résilience et l’efficacité du réseau DNS face à ces attaques préjudiciables en termes d’impact financier et d’image. En espérant voir enfin de meilleurs chiffres sur le rapport 2020.

50 ans après l’Arpanet, l’ancêtre d’Internet

Le 29 octobre 1969, l’Université de Californie à Los Angeles (UCLA) envoie à l’Institut de Recherche de Stanford, le tout premier message électronique par le réseau Arpanet (Advanced Research Projects Agency Network), posant ainsi les fondations du monde connecté d’aujourd’hui.

Arpanet, le précurseur d’Internet

Arpanet est le premier réseau à transfert de paquets de données développé par l’Agence des Projets de Recherche avancée (ARPA – Advanced Research Projects Agency), appartenant au département de la Défense des Etats-Unis.

Le premier nœud d’Arpanet a été installé à l’UCLA le 30 août 1969, le second à l’Institut de Recherche de Stanford le 1^er octobre 1969. Le premier message a ainsi été envoyé entre ces deux institutions le 29 octobre 1969, par le professeur de sciences de l’UCLA, Leonard Kleinrock qui souhaitait envoyer le mot « login » mais à la suite d’un bug, seules les lettres « l » et « o » sont arrivées sans encombre jusqu’au destinataire, le mot entier ne sera transmis qu’une heure plus tard.

L’Arpanet connectait ainsi plusieurs universités et centres de recherches : tout d’abord, l’Université de Californie à Los Angeles et l’Institut de Recherche de Stanford, suivis de peu par l’Université de Californie à Santa Barbara et l’Université d’Utah. Fin 1969, Arpanet comptait alors 4 nœuds, en 1971, 23 nœuds furent créés et 111 nœuds en 1977.

En 1983, l’Arpanet a été divisé en deux réseaux distincts : l’un militaire, le MILnet (Military Network) et l’autre universitaire, le NSFnet.

Le 1^er janvier 1983, le nom « Internet », déjà en usage pour désigner l’ensemble d’Arpanet, est devenu alors officiel.

Les 30 ans du World Wide Web

En 1989, Tim Berners-Lee, un chercheur britannique travaillant au CERN (Organisation européenne pour la recherche nucléaire) a proposé un système hypertexte fonctionnant sur Internet. À l’origine, ce système a été conçu pour que des scientifiques travaillant dans des universités et des instituts du monde entier puissent s’échanger des informations instantanément. Sa vision d’une connectivité universelle devient le World Wide Web, qui a fait exploser l’usage d’Internet.

En 1993, Mosaic le pionnier des navigateurs web, a été créé par Marc Andreessen et Eric J.Bina, deux étudiants du National Center for Supercomputing Applications (NCSA) de l’Université de l’Illinois. Il ne s’agissait pas du premier navigateur graphique mais Mosaic était particulièrement rapide et permettait aux utilisateurs d’afficher les images au sein des pages, ce qui lui a valu une certaine popularité et a contribué à l’accroissement de la popularité du World Wide Web.

Internet Protocol – De l’IPv4 à l’IPv6

Le protocole Internet (IP – Internet Protocol) est une famille de protocoles de communication de réseaux informatiques conçus pour être utilisés sur Internet. Les protocoles IP permettent un service d’adressage unique pour l’ensemble des terminaux connectés.

IPv4, la première version principale a été inventée dans les années 70 et introduit au public en 1981. Elle forme encore aujourd’hui, la base d’une grande partie des communications sur Internet. Il y a 20 ans, l’IETF (Internet Engineering Task Force) a prédit l’épuisement des adresses IPv4 et a commencé à travailler sur une nouvelle version du protocole Internet : IPv6.

IPv4 utilise le schéma d’adressage codé sur 32 bits pour supporter environ 4,3 milliards d’adresses possibles, tandis qu’IPv6 dispose d’un espace d’adressage bien plus important grâce à des adresses codées sur 128 bits, soit 3,4 ×  10³⁸ adresses possibles.

DNS – Le Système des Noms de Domaine

A la demande de l’Agence des Projets de Recherche avancée du département de la Défense américaine, le DNS (Domain Name System – Système des noms de domaine) a été inventé en 1983 par Jon Postel et Paul Mockapetris, afin d’associer des adresses IP complexes à des noms humainement compréhensibles plus simples à retenir. Ainsi une adresse logique, le nom de domaine est associé à une adresse physique, l’adresse IP. Le nom de domaine et l’adresse IP sont uniques.

En 1998, est créé l’ICANN (Internet Corporation for Assigned Names and Numbers), l’autorité de régulation de l’Internet. Son rôle premier est d’allouer l’espace des adresses de protocole Internet, d’attribuer les identificateurs de protocole (IP), de gérer le système de noms de domaine de premier niveau pour les codes génériques (gTLD), d’attribuer les codes nationaux (ccTLD), et d’assurer les fonctions de gestion du système de serveurs racines.

Avec 351,8 millions d’enregistrements de noms de domaine au premier trimestre 2019, les dépôts de noms de domaine ne cessent d’augmenter, avec cependant en parallèle, une augmentation du nombre des menaces visant le DNS.

L’émergence des cybermenaces

Considérée comme l’une des premières cyberattaques et certainement la première à avoir attiré l’attention des médias de masse, l’attaque du ver Morris (Morris Worm) a été lancée par un étudiant de l’Université de Cornell, Robert Tappan Morris, en 1988. A l’origine, le logiciel malveillant développé par l’étudiant n’avait pas pour but de causer des dommages mais d’estimer tout simplement l’étendue d’Internet. Ce ver a pourtant touché environ 10% des 60 000 machines estimées connectées à Internet et les dommages causés étaient de l’ordre de 100 000 à 10 millions de dollars. Cet événement marque alors un tournant dans le domaine de la sécurité en ligne.

Aujourd’hui, les cyberattaques sont nombreuses, fréquentes et de plus en plus sophistiquées. L’évolution des techniques et l’apparition de nouvelles technologies les rendent toujours plus complexes et offrent de nouvelles opportunités aux attaquants.

Divers types de cyberattaque existent, tels que des attaques ciblant le DNS : DDoS, DNS cache poisoning, DNS spoofing, Man in the middle… (En 2019, selon l’IDC – International Data Corporation, 82% des entreprises mondiales ont fait face à une attaque DNS au cours de l’année écoulée) ou encore des attaques visant directement les utilisateurs et ayant pour objectif d’obtenir des informations confidentielles pour usurper une identité (phishing).

Ces attaques peuvent avoir des conséquences considérables pour les entreprises victimes. Par exemple, le coût d’une fuite de données est aujourd’hui en moyenne de 3,92 millions de dollars, selon IBM Security, ce coût a augmenté de 12% en 5 ans.

Un trafic IP estimé en 2022 plus important que celui généré de 1984 à 2016

Aujourd’hui, avec plus de 5 milliards de recherches faites sur Google chaque jour et l’e-commerce continuant son avancée, les réseaux sociaux connaissant un véritable succès et le nombre en constante augmentation des objets connectés, le volume du trafic sur Internet a fortement augmenté.

En effet en 1974, le trafic sur Internet dépassait 3 millions de paquets par jour. Selon une étude de Cisco, en 2017, le trafic IP global était de 122 exaoctets par mois et la société estime que ce volume devrait atteindre 396 exaoctets d’ici 2022.

« La taille d’Internet et sa complexité continuent de croître d’une façon que beaucoup n’auraient pu imaginer. Depuis que nous avons lancé nos prévisions VNI en 2005, le trafic a été multiplié par 56 et a atteint un taux de croissance annuel composé (TCAC) de 36 %, lié au nombre de plus en plus important d’utilisateurs, d’appareils et d’applications accédant aux réseaux IP », explique Jonathan Davidson, vice-président senior et directeur général du Service Provider Business chez Cisco.

50 ans après la naissance d’Arpanet, l’ancêtre d’Internet, le monde compte aujourd’hui plus d’appareils connectés que de personnes. En 2022, les internautes représenteront 60 % de la population mondiale et plus de 28 milliards d’appareils se connecteront à Internet.

REPLAY WEBINAR CYBERSÉCURITÉ – DDoS et attaques ciblant le DNS et les noms de domaine : comment s’en protéger ?

REPLAY WEBINAR CYBERSECURITE - DDoS et attaques ciblant le DNS et les noms de domaine : comment s'en protéger ?

Le 24 février dernier le monde a pris conscience, à la suite d’un communiqué de l’ICANN, que l’Internet pouvait s’arrêter à tout moment ! En cause, la protection des noms de domaine et du DNS, pierre angulaire de l’accès aux sites web.

Saviez-vous que la disponibilité de vos mails, sites et services Internet dépend du Nom de Domaine?

Au programme de ce webinar à destination des Grands Comptes, Entreprises publiques et privées, Online Players et plus généralement des entreprises utilisant Internet comme canal de communication et de diffusion :

Actualités en cybersécurité
Comprendre l’importance du DNS
Identifier les attaques visant le DNS et les noms de domaine
Les bonnes pratiques pour se protéger

Retrouvez ce webinar animé par Christophe GERARD, Security Product Manager et Lucie LOOS, Directrice Marketing Experte cybersécurité de Nameshield group, en replay sur la plateforme Webikeo :

VISIONNER LE REPLAY

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.

Cookie	Durée	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_25904574_14	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durée	Description
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durée	Description
ppwp_wp_session	30 minutes	No description
visit	30 minutes	No description

Les noms de domaine

Les extensions

Les serveurs de nom de domaine

La résolution des noms de domaine

Notions importantes

Le chemin de la résolution

Conclusion

Pourquoi est-ce si important ?

Analyse comparative des domaines de premier niveau, les fameux Top Level Domains (.com, .fr…)

Petit retour sur le temps de résolution DNS et son impact sur le temps de chargement

Analyse comparative

Résultats

Conclusion

Le DNS, un service fondamental

Blockchain et registre décentralisé

De nouveaux besoins

DNS on Blockchain, aujourd’hui

Conclusion

Arpanet, le précurseur d’Internet

Les 30 ans du World Wide Web

Internet Protocol – De l’IPv4 à l’IPv6

DNS – Le Système des Noms de Domaine

L’émergence des cybermenaces

Un trafic IP estimé en 2022 plus important que celui généré de 1984 à 2016

Nameshield utilise des cookies