Qu’est-ce que le DNS ?

Le système de noms de domaine (DNS) est la méthode par laquelle une adresse IP (Internet Protocol), un ensemble de chiffres (tels que 173.194.39.78), est convertie sur un ordinateur ou un autre appareil connecté en un nom de domaine lisible par l’homme (tel que www.google.com).

Le DNS sert d’annuaire à l’internet, traduisant les noms de domaine lisibles par l’homme en adresses IP lisibles par la machine. Lorsqu’une personne saisit l’adresse d’un site web dans son navigateur, cela déclenche une demande d’accès à ce site particulier. Le rôle du DNS est de faire correspondre l’URL textuel à l’adresse IP désignée, que les ordinateurs utilisent pour localiser et fournir le contenu web.

Par essence, le DNS résout la conversion nom-nombre requise, car les appareils en réseau communiquent à l’aide d’identifiants numériques (adresses IP), et non de mots. Chaque fois que vous visitez une page web, envoyez un email ou vous engagez en ligne d’une manière qui nécessite la résolution de noms de domaine, le protocole DNS garantit que vos requêtes numériques atteignent leur destination correcte sur le vaste réseau connu sous le nom d’Internet.

Un serveur DNS désigne les machines configurées au sein d’un système qui maintiennent des bases de données associant des noms de domaine à des adresses IP. Les deux principaux types de serveurs DNS sont les serveurs autoritaires et les serveurs récursifs.

Les serveurs faisant autorité contrôlent définitivement un ou plusieurs domaines et répondent directement à leurs questions. Ils sont chargés de fournir des informations actualisées et précises sur toutes les ressources qu’ils gèrent.

Les serveurs récursifs reçoivent des requêtes de machines clientes telles que des ordinateurs personnels ou des smartphones. S’ils ne savent pas comment traduire certains noms d’hôtes, ils consultent des serveurs faisant autorité à différents niveaux de la hiérarchie. Une fois qu’ils ont récupéré suffisamment de données, ils répondent à l’appareil demandeur. Les serveurs DNS rationalisent l’expérience de l’utilisateur en réduisant la complexité des interactions directes entre l’appareil de l’utilisateur et les diverses sources d’autorité mondiales.

Dans les premiers temps de l’internet, le seul moyen d’accéder à un site web était de saisir l’adresse IP, cette longue série de chiffres, dans la fenêtre de son navigateur.

Au début des années 1980, l’informaticien américain Paul Mockapetris et son collègue Jon Postel ont mis au point un système permettant de faire correspondre automatiquement les adresses IP aux noms de domaine : le DNS était né. Ce même système sert encore aujourd’hui de colonne vertébrale à l’internet^[2].

Le DNS a été surnommé « l’annuaire » de l’internet. Supposons que vous souhaitiez lire le « New York Times » en ligne. Vous entrez son nom de domaine, www.nytimes.com, dans votre navigateur et vous voyez la première page de l’organe de presse.

Vous pouvez ensuite naviguer vers différentes sections du journal en cliquant sur des liens intitulés « Business », « Sports », « Opinion », ou vers des articles spécifiques, chacun ayant son propre nom de domaine et sa propre adresse IP.

Derrière l’écran de l’ordinateur, la requête est envoyée à plusieurs serveurs sur l’internet dans l’ordre suivant :

• Un serveur de résolution récursif : Lorsqu’une requête DNS est lancée, elle atterrit d’abord sur le serveur de résolution récursif. Il s’agit en quelque sorte d’un concierge Internet qui prend en charge la demande initiale de traduction d’un nom de domaine en adresse IP. Si ce serveur a déjà résolu le même domaine (grâce à sa capacité de mise en cache), il peut fournir une réponse rapide. Dans le cas contraire, il remonte avec diligence dans la hiérarchie pour obtenir les informations requises.
• Un serveur de noms racine : Les serveurs racine de DNS servent de points de référence globaux pour toutes les recherches DNS et jouent un rôle fondamental dans la traduction des noms d’hôtes lisibles en adresses IP numériques. Bien qu’il n’y ait que 13 adresses uniques de serveurs de noms de la zone racine, chacune d’entre elles est stratégiquement répliquée sur différents sites dans le monde entier à l’aide de l’adressage anycast afin de garantir la robustesse et la fiabilité des réponses.
• Un serveur de noms de domaine de premier niveau (TLD) : Ce type de serveur sert de gardien pour des tranches spécifiques de l’espace de noms catégorisées par des domaines de premier niveau tels que .com ou .org et des codes de pays tels que .uk ou .jp. C’est ici que nous réduisons notre recherche à l’intérieur de ces subdivisions. Lorsqu’on leur attribue une partie d’un nom d’hôte associé à leur domaine de premier niveau, ils nous guident en nous orientant vers des sources d’autorité plus précises.
• Un serveur de noms faisant autorité : Enfin, atteindre un serveur de noms faisant autorité signifie toucher le gros lot pour la spécificité des données : ils détiennent les enregistrements définitifs pour les domaines individuels, y compris les détails nécessaires tels que les enregistrements A (adresses), les enregistrements MX (échanges de courrier), etc. ^[3]

Les serveurs DNS et les serveurs DNS récursifs font tous deux partie intégrante du processus de résolution des noms de domaine sur l’internet, mais ils ont des rôles distincts au sein de ce système.

Serveurs DNS

Il s’agit généralement de serveurs de noms faisant autorité qui contiennent des données spécifiques sur un sous-ensemble de noms de domaine.

Ils fournissent la dernière information de la chaîne de recherche DNS en répondant par l’adresse IP associée à un nom d’hôte demandé. En fait, ces serveurs agissent comme des bibliothécaires qui savent exactement où trouver certains livres — les « livres » étant des noms de domaine et leurs « emplacements » correspondants étant des adresses IP.

Serveurs DNS récursifs

En revanche, les serveurs DNS récursifs ne détiennent pas de données sur les domaines eux-mêmes. Au lieu de cela, ils agissent au nom des clients pour résoudre les requêtes par le biais d’une série de demandes jusqu’à ce que le serveur faisant autorité fournisse une réponse.

On peut les considérer comme des assistants qui prennent en charge votre demande d’informations et consultent ensuite diverses sources jusqu’à ce qu’ils les trouvent pour vous. Ils mettent également les réponses en cache afin de pouvoir répondre plus rapidement aux futures demandes portant sur le même nom d’hôte, sans avoir à repasser par toutes les étapes.

La principale différence entre ces deux serveurs DNS réside dans leur fonction. Le DNS autoritaire répond directement aux questions sur la base de ses enregistrements stockés, tandis que le DNS récursif prend ces demandes initiales et fait le travail nécessaire pour obtenir des réponses définitives ailleurs si nécessaire.

Le DNS pose plusieurs problèmes de sécurité potentiels. Étant donné que le système est largement utilisé, toute défaillance du DNS pourrait théoriquement être catastrophique.

C’est une préoccupation majeure, a déclaré Mockapetris, le co-développeur de DNS, dans une interview avec le magazine technologique « TechTarget » en 2016^[4].

Des milliards d’appareils dans le monde sont connectés par DNS. Et des milliards d’autres seront bientôt connectés par l’internet des objets (IoT), a déclaré Mockapetris.

Au plus fort de la pandémie, des acteurs de la menace ont attaqué les paramètres DNS de personnes travaillant à domicile dans le cadre de la pandémie mondiale de COVID-19. Les attaquants ont modifié les paramètres DNS des routeurs Linksys, dirigeant les utilisateurs vers ce qui semblait être un site web légitime comprenant un message contextuel contenant des informations sur la pandémie.

Mais une fois que l’utilisateur a cliqué, il a téléchargé une fausse application liée au coronavirus et s’est livré à toute une série d’activités malveillantes, selon les chercheurs en sécurité^[5].

En mars 2020, l’Internet Crime Complaint Center (IC3) du FBI a mis en garde le public contre les escroqueries en ligne liées au COVID-19 qui comprennent des liens permettant de télécharger des malwares sur l’ordinateur de la cible.

Ces escroqueries invitent les gens à faire des contributions caritatives, à recevoir des remboursements de billets d’avion, à proposer de faux remèdes pour le COVID-19 ou de faux kits de test et d’autres astuces conçues pour obtenir des informations personnelles.

La recherche DNS est un processus essentiel de traduction des noms de domaine en adresses IP, qui permet aux navigateurs de charger les ressources Internet. Voici une description étape par étape de ce processus de traduction, du début à la fin.

• Initiation de la requête de l’utilisateur : Le processus de recherche DNS commence lorsqu’un utilisateur tape un nom de domaine dans son navigateur web ou entreprend une action nécessitant un accès à l’internet. Cette requête signale la nécessité de convertir le nom de domaine convivial en adresse IP.
• Requête récursive du serveur de résolution : L’appareil de l’utilisateur envoie la demande à un serveur de résolution récursif, généralement fourni par le fournisseur d’accès à l’internet (FAI). Son rôle est de récupérer l’adresse IP du site web pour le compte du client, en agissant comme un intermédiaire responsable de la navigation à travers les étapes suivantes s’il ne dispose pas déjà de la réponse en cache à partir des recherches précédentes.
• Direction du serveur de noms racine : Si les données nécessaires ne se trouvent pas dans son cache, le résolveur récursif interroge l’un des 13 serveurs de noms racine distribués et répliqués à l’échelle mondiale via un réseau anycast. Ces serveurs se situent au niveau le plus élevé de la hiérarchie DNS et indiquent où la partie suivante du nom d’hôte doit être recherchée - en particulier en pointant vers le serveur TLD approprié en fonction de l’extension (.com, .org, etc.).
• Référence au serveur de domaine de premier niveau (TLD) : Après avoir reçu des conseils d’un serveur racine, notre quête se poursuit auprès des serveurs TLD responsables de la gestion des domaines sous des suffixes spécifiques tels que .net ou des codes de pays tels que .uk. Ils contiennent des informations sur les serveurs de noms faisant autorité, chargés de conserver les données relatives aux noms d’hôtes demandés dans ces zones.
• Résolution du serveur de noms faisant autorité : Après avoir été aiguillés par les TLD, nous nous adressons directement au serveur de noms faisant autorité, qui a le contrôle total de la fourniture de réponses concernant l’espace de domaine qui lui est associé. Il s’agit de la dernière étape avant l’obtention du mappage IP indispensable, qui permet d’établir la communication entre le client demandeur et la machine hôte de destination.
• Retour de la réponse à l’adresse IP : En cas de résolution réussie, le serveur faisant autorité renvoie un enregistrement valide détaillant l’identifiant numérique correct lié à l’URL textuel saisi à l’origine, qui peut alors être communiqué en aval jusqu’à ce qu’il atteigne l’agent demandeur initial, à savoir l’appareil de l’utilisateur lui-même, bouclant ainsi la boucle et permettant l’accès prévu aux ressources du réseau.
• Mise en cache pour plus d’efficacité : Pour améliorer la rapidité des demandes ultérieures concernant les mêmes destinations, les adresses résolues sont temporairement stockées le long des intermédiaires impliqués dans le chemin, en particulier dans les caches locaux des résolveurs récursifs. Les visites répétées sont ainsi beaucoup plus rapides, car l’ensemble de la chaîne est contourné, à moins que les valeurs TTL ne l’imposent pour des raisons de rafraîchissement.

Les étapes d’une consultation DNS forment une séquence essentielle qui permet aux utilisateurs d’accéder rapidement et de manière fiable aux sites web sur l’internet.

Ce système fonctionne en douceur dans les coulisses pour maintenir la connectivité que nous considérons souvent comme acquise lors de nos interactions quotidiennes en ligne.

Pour choisir le meilleur serveur DNS, il faut tenir compte de la vitesse, de la fiabilité, des fonctions de sécurité et des politiques de confidentialité. Un serveur DNS plus performant que la moyenne affichera souvent des performances supérieures dans ces domaines par rapport aux options standard fournies par les fournisseurs d’accès à Internet.

Voici quelques-uns des principaux concurrents :

• Google Public DNS : Réputée pour sa rapidité et son infrastructure robuste, l’offre de Google est un choix de premier ordre pour les utilisateurs qui souhaitent améliorer leur expérience de navigation grâce à une meilleure latence.
• Cloudflare : Privilégiant la confidentialité et la performance, le service 1.1.1.1 de Cloudflare n’enregistre pas les adresses IP et promet des temps d’accès plus rapides que de nombreux concurrents.
• Quad9 : C’est dans le domaine de la sécurité que Quad9 brille ; il bloque les domaines malveillants connus pour le phishing ou la distribution de malwares tout en maintenant des normes de vitesse élevées.
• OpenDNS : Propriété de Cisco Systems Inc, OpenDNS offre des options de filtrage personnalisables, ce qui le rend idéal pour ceux qui cherchent à mieux contrôler leurs mesures de sécurité en matière de navigation sur internet.

Les caractéristiques à rechercher lors de la sélection d’un service DNS sont les suivantes

• Temps de réponse rapides
• Garanties de temps de fonctionnement élevé
• Mesures de sécurité intégrées (par exemple, protection contre les attaques de phishing)
• Garanties de protection de la vie privée (enregistrement minimal des données)
• Contrôles parentaux et possibilités de personnalisation

Le choix dépend de vos priorités, qu’il s’agisse de couches de sécurité inflexibles ou d’une vitesse sans compromis. Chaque option ci-dessus a fait ses preuves dans divers domaines, ce qui en fait un choix de premier ordre dans le secteur très encombré des serveurs actuels.

DNS Made Easy (2019). “What Is DNS? The glue that holds the Internet together.”
Cloudflare. “What is DNS? How DNS works.”
Margie Semil of TechTarget (January 2016). “DNS challenges have changed, but it’s vital role hasn’t.”
Shannon Vavra, Cyberscoop (March 2020). “Hackers are messing with routers’ DNS settings as telework surges around the world.”
Federal Bureau of Investigation (FBI) (March 2020). “FBI sees rise in fraud schemes related to the coronavirus (Covid-19) pandemic.”

[1] Cloudflare.com
[2] Cloudflare.com
[4] Shannon Vavra, Cyberscoop. “Hackers are messing with routers’ DNS settings as telework surges around the world” March 2020.
[5] Shannon Vavra, Cyberscoop. “Hackers are messing with routers’ DNS settings as telework surges around the world” March 2020.