DNS en voie de disparition : DoT et DoH, quand une seule lettre fait toute la différence

Gestion des réseauxRéseauxSécurité

À mesure que les deux protocoles gagnent en popularité, les opérateurs réseaux sont de plus en plus préoccupés par l’impact d’un manque de visibilité DNS sur leurs activités quotidiennes.

L’acronyme DoH (DNS over HTTPS), quelque peu ironique, démontre que les créateurs de cette norme ont un grand sens de l’humour. Cependant, comme le DoH a été mis en œuvre par de grandes sociétés internet, il est devenu un sujet incontournable dans de nombreux forums de discussion, où l’expression « homérienne » « DOH! », résonne comme une expression de préoccupation, de déception et d’incompréhension face à l’impact potentiel du DoH.

Commençons par prendre un peu de recul et examinons les objectifs initiaux du DoH et du DoT (DNS over TLS).
Un consensus semble se dégager chez les partisans de l’utilisation privée d’internet, à savoir que le chiffrement est une bonne chose et que son application sur DNS est nécessaire pour empêcher les opérateurs réseaux d’obtenir une visibilité sur les sites et services que leurs utilisateurs consultent (et visitent ensuite).

Deux protocoles ont été créés pour assurer ce chiffrement : DNS over TLS (DoT) et DNS over HTTPS (DoH). Bien que les deux permettent le chiffrement des données DNS en utilisant le même protocole TLS, ils présentent quelques différences très importantes :

– Les couches de protocole : alors que le DoT est essentiellement le DNS over TLS, le DoH est en fait le DNS over HTTP over TLS ;

– Des numéros de port différents : le trafic DoT utilise un port dédié 853, et peut donc être distingué au niveau de la couche réseau. Le DoH utilise le port 443 (HTTPS) en raison des couches de protocole ;

– Des capacités différentes : le DoT est en grande partie le même DNS que celui que nous connaissons, tandis que le DoH combine dans une certaine mesure des fonctionnalités DNS et HTTP. Les capacités DoH étendues les plus remarquables sont les options permettant de
« pousser » les données DNS depuis le serveur plutôt que de les « tirer », et la possibilité pour les navigateurs web de définir quel résolveur DNS sera utilisé en lieu et place du système d’exploitation sous-jacent de l’ordinateur (et des administrateurs dudit système).

La coexistence de deux options pour atteindre un objectif similaire a suscité des divergences au sein de la communauté internet, certaines entreprises ayant commencé à déployer et à promouvoir le DoT, tandis que d’autres ont choisi le DoH.

Le premier groupe se compose principalement de prestataires de services et d’entreprises. Pour ces derniers, le DoT est une évolution dans la mesure où il ne change pas fondamentalement la manière dont les réseaux sont conçus, exploités et sécurisés.

Cependant, les sociétés web et les développeurs de navigateurs ont misé sur le DoH, qui offre aux utilisateurs la possibilité de contourner les services DNS proposés par les fournisseurs de services et configurés par les administrateurs système. Ils proposent leurs propres services DNS dans le cloud, dont la spécificité réside dans la combinaison d’une meilleure confidentialité et de performances accrues – deux éléments qui semblent attirer l’utilisateur final.

Du point de vue des opérateurs réseau, cependant, si les utilisateurs migrent vers le DoH, leur visibilité sur les services par contournement (OTT ou over-the-top en anglais) utilisés par leurs clients diminuera, et leur capacité à défendre/protéger leurs utilisateurs des menaces sur internet sera également compromise.

De toute évidence, le temps dira si le DoT continuera de prévaloir ou si le DoH commencera à gagner du terrain. Comme mentionné au début de l’article, la direction que devrait prendre l’industrie d’internet fait actuellement l’objet d’un vif débat.

Pour les chercheurs de l’internet, la période actuelle est intéressante, car elle permet de découvrir comment l’architecture internet s’adapte à un changement fondamental du DNS, un élément clé du plan de contrôle.
Si le DoH se généralise et que les sociétés web deviennent les principaux fournisseurs de DNS, le marché assistera à un nouveau cycle de centralisation.

À mesure que les deux protocoles gagnent en popularité, les opérateurs réseaux sont de plus en plus préoccupés par l’impact d’un manque de visibilité DNS sur leurs activités quotidiennes.
Par exemple, si un service DoH tombe en panne, un utilisateur mobile lambda sans expérience technique serait probablement confronté à une interruption de connexion et finirait sans doute par appeler le service technique du fournisseur et par rejeter la faute sur ce dernier – qui n’a en réalité rien à voir avec le service DOH à l’origine du problème.

Ce genre de questions constitue une préoccupation majeure dans l’ensemble de l’industrie. Le futur s’annonce déjà intéressant.

Auteur
En savoir plus 
spécialiste de la sécurité
NETSCOUT
Philippe Alcoy est spécialiste de la sécurité chez NETSCOUT
En savoir plus 

Livres blancs A la Une