Chiffrement DNS : DNS over HTTPS et over TLS

Dernière Mise à jour le

Les requêtes DNS sont par défaut non chiffrées, cela permet donc à un attaquant de récupérer les sites visités notamment à travers des attaques Attaque Man in the Middle (MITM).
Il existe des solutions qui permettent de chiffrer les requêtes DNS, un peu comme, il est possible de surfer sur des sites sécurisés HTTP > HTTPs.

Ces solutions sont encore expérimentales ou non supporté pour la plupart, voici une présentation du DNS Over TLS.

Chiffrement DNS : DNS over HTTPS et over TLS

DNS Chiffré : DNS over HTTPS ou DNS over TLS

Le protocole DNS est un ancien protocole qui n’a que très peu évolué.
Par défaut, le protocole DNS utilise le port 53 en UDP car ce protocole est plus rapide que le TCP (mais il est possible d’utiliser des requêtes DNS en TCP).
Dans les deux, les paquets qui transitent sont en clair et donc le protocole est non chiffré.
Ci-dessous, on récupère très facilement les requêtes DNS depuis un ordinateur attaquant.
Cela permet à un attaquant de récupérer les sites visités ou à des entités d’espionner massivement les internautes.
Un service VPN qui récupère le trafic DNS peut donc très bien vous suivre.

Pister le Trafic DNS

Pour pallier à cela, il existe plusieurs solutions pour chiffrer les requêtes DNS.
Des solutions existent pour chiffrer les requêtes DNS, certains sont expérimentales :

  • Des solutions extérieures comme DNSCrypt, ce dernier fonctionne sur le port 443 en TCP ou UDP.
  • DNS over HTTPs qui utilisent le protocole HTTPs pour chiffrer les requêtes
  • DNS over TLS un protocole de chiffrent DNS sur le port 853. (RFC-7858)
  • DNS over Datagram Transport Layer Security (DTLS) sur le port 853 aussi mais avec UDP. (RFC-8094)
  • DNSCurve
  • DNS-over-HTTP (DOH) : DNS over HTTP/2.
  • DNS-over-QUIC
Comparatif des serveurs de noms (DNS)

Pour que cela fonctionne, il faut donc que le serveur DNS utilisé supporte ces protocoles.
Or actuellement, tous ne supportent pas le chiffrent.
La page suivante indique les protocoles supportés, plus d’informations sur le Comparatif des serveurs de noms (DNS) : Google, OpenDNS, Quad9, Ultra-DNS etc.
Bien entendu, il faut bien choisir le serveur DNS, si le but est d’éviter le pistage par votre fournisseur d’accès, il ne faut pas prendre les DNS de Google qui font pas mieux.

Activer DNS Over HTTPS

Pour que le protocole DNS over HTTPs puisse fonctionner, il faut que le navigateur internet supporte ce protocole.
Là aussi, tous ne sont pas égaux.
Mozilla Firefox supporte ce protocole depuis la version 60 à travers Trusted Recursive Resolver (TRR).

Si vous cherchez à activer DNS Over HTTPs sur vos navigateurs WEB, suivre ce tutoriel : Sécuriser les connexions DNS avec Firefox ou Chrome.
Pour l’activer dans Windows 10 : Comment activer DNS over HTTPS (DoH) dans Windows 10

DNS over TLS

Le chiffrement DNS par le DNS over TLS peut être ajouté sur Windows à l’aide du programme Stubby
Le lien donné vous propose un tuto rapide en anglais.

Conclusion

Comme vous pouvez le constater, tout cela est encore un peu expérimental et rien n’est encore en natif.
Le déploiement massif du chiffrement DNS n’est donc pas encore une réalité.

Le VPN est une solution pour chiffrer les requêtes DNS, toutefois, il faut bien entendu choisir un bon service qui respecte la vie privée.
Sinon au final, vous alimentez les bases de données des sociétés derrière ces services VPN.

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Chiffrement DNS : DNS over HTTPS et over TLS mais vous n'avez pas trouvé la solution à votre problème...
Suivez ces articles du forum pour trouver une réponse ou demandez à votre tour de l'aide sur le forum


Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...
Une question informatique ?
Un virus à supprimer ? Votre PC est lent ?
Demander de l'aide sur le forum
Tags:

Laisser un commentaire

0 Partages
Tweetez
Partagez
Enregistrer
Partagez