Qu’est-ce que le DNS ? Présentation du système de noms de domaine
Le système de noms de domaine fait partie intégrante de notre navigation quotidienne sur le Web, sans même que l’on s’en rende compte. En effet, à l’aide du DNS, les noms de domaine que les utilisateurs tapent dans le navigateur sont traduits en adresses IP qui permettent à l’ordinateur d’ouvrir la page demandée.
Qu’est-ce que le DNS ?
L’abréviation DNS signifie « Domain Name System », soit système de noms de domaine en français. Le DNS permet de convertir les noms de domaine lisibles par l’homme en adresses IP de serveur. Dès que vous tapez un domaine que vous connaissez, par exemple www.ionos.fr, dans votre navigateur, celui-ci recherche le nom de domaine sur différents serveurs DNS. La recherche commence généralement par le serveur DNS du routeur. De là, une série d’autres serveurs DNS est recherchée jusqu’à ce que le nom de domaine souhaité soit trouvé.
Une fois trouvé, votre navigateur trouvera l’adresse IP correspondante qui lui permettra d’établir une connexion avec le site Web souhaité. Le système de noms de domaine est donc nécessaire pour communiquer dans un réseau sans connaître les adresses IP respectives.
Comment fonctionne le système de noms de domaine ?
Le système de noms de domaine est également surnommé l’annuaire d’Internet. Cela fait directement référence au fonctionnement du DNS, qui consiste à trouver des adresses IP correspondant à des noms de domaine donnés. Ce processus est appelé résolution de noms DNS et peut être suivi pas à pas :
- Vous saisissez une adresse Web quelconque dans la ligne de recherche de votre navigateur.
- La recherche est transmise à un résolveur DNS, qui est généralement géré par votre fournisseur d’accès à Internet.
- Le résolveur DNS transmet la recherche à un serveur DNS et est dirigé vers un autre serveur DNS.
- Le résolveur DNS est redirigé vers différents serveurs DNS jusqu’à ce qu’il trouve le nom de l’adresse Web.
- Le serveur final parcourt ses enregistrements jusqu’à ce qu’il trouve l’adresse IP correspondante et la renvoie au résolveur DNS.
- Le résolveur DNS fournit l’adresse IP au navigateur Web. Celui-ci appelle le site Web correspondant.
Divers composants tels que le résolveur DNS et différents serveurs de noms jouent donc un rôle dans la résolution de noms. En résumé, le résolveur DNS est le programme qui contrôle le processus de résolution de noms et qui obtient les informations requises du système de noms de domaine. Pour vérifier si la résolution de noms fonctionne correctement, l’outil de ligne de commande nslookup peut s’avérer utile.
Quels sont les serveurs utilisés pour le DNS ?
On peut distinguer différents serveurs de noms qui jouent un rôle dans la résolution des noms :
- Serveurs racine DNS : les serveurs racines sont des serveurs de noms faisant autorité qui renvoient normalement une liste d’autres serveurs de noms faisant autorité pour un domaine de premier niveau donné.
- Serveurs de noms TLD : le serveur TLD répond en fonction du domaine de premier niveau concerné. Si vous recherchez www.ionos.fr, un serveur de noms TLD répondra pour l’extension de domaine .fr.
- Serveurs de noms faisant autorité : les serveurs de noms faisant autorité sont responsables d’une zone DNS, c’est-à-dire d’un domaine ou d’un sous-domaine individuel. Les informations fournies par les serveurs de noms faisant autorité sont fiables. On distingue les DNS primaires et les DNS secondaires.
- Serveurs de noms récursifs : les serveurs de noms ne faisant pas autorité obtiennent leurs informations d’autres serveurs de noms faisant autorité.
Il peut aussi arriver qu’un serveur DNS ne réponde pas. Dans ce cas, vous pouvez par exemple essayer de changer de navigateur Web, désactiver temporairement le pare-feu ou redémarrer votre routeur.
Critique du système de noms de domaine
Même si le DNS joue un rôle important dans le trafic quotidien du réseau, le système présente également des points faibles. L’un des plus grands problèmes du DNS sont ses failles de sécurité. Comme les serveurs DNS stockent les adresses IP appartenant à un domaine de manière non chiffrée et les transmettent en principe à quiconque les demande, ils constituent une cible idéale pour les cybercriminels.
Les utilisateurs qui souhaitent garder leur navigation privée peuvent être confrontés aux DNS Leaks. En cas de fuite DNS, une requête DNS est envoyée sans protection à un serveur de noms au lieu de passer par le VPN.
De plus, le DNS peut poser problème au regard d’un Internet libre et non censuré. Récemment, le ministère russe du Développement numérique a ainsi ordonné que tous les services Internet disponibles dans le pays passent par des serveurs DNS russes, bloquant ainsi les sites étrangers. Il est ainsi possible pour les gouvernements autoritaires de surveiller l’ensemble du trafic réseau. Une censure par le DNS est également envisageable si un domaine de premier niveau spécifique était bloqué, par exemple. Les fournisseurs d’accès à Internet peuvent également bloquer l’accès à certains sites Web afin de mettre en œuvre les directives de censure de l’État.
Aperçu des extensions DNS
Il existe une série d’extensions DNS qui permettent d’ajouter des fonctions au Domain Name System :
- DynDNS ou DDNS : le DynDNS (ou DNS dynamique) veille à mettre à jour régulièrement et automatiquement les domaines dans le système de noms de domaine. Ainsi, dès qu’un ordinateur change d’adresse IP, cette modification est enregistrée dans l’enregistrement DNS correspondant.
- Extended DNS : différentes extensions de protocole du DNS ont été regroupées en EDNS. Cette extension est notamment essentielle pour le transport de paquets UDP.
- DNSSEC : les DNSSEC constituent une extension en matière de sécurité. Les DNSSEC empêchent les pirates d’intervenir dans la résolution de noms DNS. Pour ce faire, l’extension utilise un chiffrement asymétrique.
Dangers liés aux requêtes DNS
Un DNS obsolète ou mal entretenu peur représenter un danger pour la sécurité du réseau. Une stratégie d’attaque populaire est le DNS Hijacking, soit le détournement de DNS. Dans ce cas, le serveur de noms est contrôlé par des pirates et vous êtes redirigé vers une page que vous ne vouliez pas visiter à l’origine. En combinaison avec le pharming ou le phishing, les pirates tentent alors de saisir vos données sensibles. Il est également possible que les pages vers lesquelles vous avez été redirigé soient utilisées pour infecter votre ordinateur avec des logiciels malveillants.
Le DNS Spoofing est également un risque réel. Ici, il n’y a pas de contrôle de l’ensemble du serveur de noms, mais une simple manipulation de la résolution du nom. Ainsi, vous n’obtenez pas l’adresse IP correcte : l’enregistrement DNS a été modifié de manière à renvoyer une adresse IP contrôlée par les pirates. La page sur laquelle vous arrivez semble légitime à première vue. La seule chose qui lui manque est un certificat de sécurité.
Requêtes DNS : récursives et itératives
Lors de la résolution de noms, les différents types de requêtes DNS veillent à ce que les bonnes informations soient demandées :
- Requête récursive : l’ordinateur demande une adresse IP ou la confirmation que le serveur de noms ne connaît pas cette adresse IP.
- Requête itérative : les requêtes itératives sont les plus fréquentes. Dans ce cas, l’ordinateur demande la meilleure réponse possible au serveur DNS. Si le serveur ne connaît pas l’adresse correspondante, il redirige la personne qui a fait la demande vers des serveurs de noms faisant autorité.
Enregistrements DNS : A, CNAME, TXT et MX
Les enregistrements DNS sont des entrées importantes relatives à un serveur DNS. Ils indiquent à quelle adresse cible appartient un nom de domaine donné. On distingue différents types d’enregistrements DNS :
- Enregistrements A : les enregistrements A sont les plus répandus. Ils attribuent une adresse IPv4 à un domaine et sont utilisés pour diriger un domaine vers un serveur Web.
- Enregistrements CNAME : ce type d’enregistrement est utilisé pour attribuer un sous-domaine à un domaine parent.
- Enregistrements TXT : les enregistrements TXT permettent d’attribuer un texte quelconque à un domaine.
- Enregistrements MX : les enregistrements MX sont utilisés pour attribuer un domaine quelconque à un service de messagerie.