Quel protocole de cryptage DNS protège le mieux votre trafic Web ?

Le système de noms de domaine (DNS) est considéré par beaucoup comme l'annuaire téléphonique d'Internet, convertissant les noms de domaine en informations lisibles par ordinateur, telles que les adresses IP .

Chaque fois que vous écrivez un nom de domaine dans la barre d'adresse, DNS le convertit automatiquement en adresse IP correspondante. Votre navigateur utilise ces informations pour récupérer les données du serveur d'origine et charger le site Web.

Mais les cybercriminels peuvent souvent surveiller le trafic DNS, ce qui rend le cryptage nécessaire pour garantir la confidentialité et la sécurité de votre navigation sur le Web.

Plusieurs protocoles de cryptage DNS sont utilisés aujourd'hui. Ces protocoles de chiffrement peuvent être utilisés pour empêcher la cyber-espionnage en chiffrant le trafic dans le protocole HTTPS sur une connexion TLS (Transport Layer Security).

1. DNSCrypte

DNSCrypt est un protocole réseau qui crypte tout le trafic DNS entre l'ordinateur d'un utilisateur et le serveur de noms public. Le protocole utilise une infrastructure à clé publique (PKI) pour vérifier l'authenticité de votre serveur DNS et de vos clients.

Il utilise deux clés, une clé publique et une clé privée, pour authentifier la communication entre le client et le serveur. Lorsqu'une requête DNS est lancée, le client crypte la requête à l'aide de la clé publique du serveur.

La requête chiffrée est ensuite envoyée au serveur, qui déchiffre la requête à l'aide de sa clé privée. De cette façon, DNSCrypt garantit que la communication entre le client et le serveur est toujours authentifiée et cryptée.

DNSCrypt est un protocole réseau relativement ancien. Il a été largement remplacé par DNS-over-TLS (DoT) et DNS-over-HTTPS (DoH) en raison de la prise en charge plus large et des garanties de sécurité plus solides fournies par ces protocoles plus récents.

2. DNS sur TLS

DNS-over-TLS crypte vos requêtes DNS à l'aide de Transport Layer Security (TLS). TLS garantit que vos requêtes DNS sont chiffrées de bout en bout, empêchant ainsi les attaques Man-in-the-Middle (MITM) .

Lorsque vous utilisez DNS-over-TLS (DoT), vos requêtes DNS sont envoyées au résolveur DNS-over-TLS au lieu du résolveur non chiffré. Le résolveur DNS-over-TLS décode votre requête DNS et l'envoie au serveur DNS faisant autorité en votre nom.

Le port par défaut pour DoT est le port TCP 853. Lorsque vous vous connectez à l'aide de DoT, le client et le résolveur effectuent une « prise de contact » numérique. Le client envoie ensuite sa requête DNS via le canal TLS crypté au résolveur.

Le résolveur DNS traite la requête, trouve l'adresse IP correspondante et renvoie la réponse au client via un canal crypté. Le client reçoit la réponse cryptée, où elle est déchiffrée et le client utilise l'adresse IP pour se connecter au site Web ou au service souhaité.

3. DNS sur HTTPS

HTTPS est la version sécurisée de HTTP actuellement utilisée pour accéder aux sites Web. Comme DNS-over-TLS, DNS-over-HTTPS (DoH) crypte également toutes les informations avant qu'elles ne soient envoyées sur le réseau.

Bien que l’objectif soit le même, il existe des différences fondamentales entre DoH et DoT. Pour commencer, DoH envoie toutes les requêtes chiffrées via HTTPS au lieu de créer directement une connexion TLS pour chiffrer votre trafic.

Deuxièmement, il utilise le port 403 pour les communications générales, ce qui rend difficile sa distinction avec le trafic Web général. DoT utilise le port 853, ce qui facilite grandement l'identification du trafic provenant de ce port et son blocage.

DoH a connu une adoption plus large dans les navigateurs Web tels que Mozilla Firefox et Google Chrome, car il exploite l'infrastructure HTTPS existante. DoT est plus couramment utilisé par les systèmes d'exploitation et les résolveurs DNS spécialisés, plutôt que d'être intégré directement dans les navigateurs Web.

Les deux principales raisons pour lesquelles DoH est plus largement adopté sont qu'il est beaucoup plus facile à intégrer dans les navigateurs Web actuels et, plus important encore, qu'il s'intègre parfaitement au trafic Web régulier, ce qui rend le blocage beaucoup plus difficile.

4. DNS sur QUIC

Comparé aux autres protocoles de chiffrement DNS de cette liste, DNS-over-QUIC (DoQ) est relativement nouveau. Il s'agit d'un protocole de sécurité émergent qui envoie des requêtes et des réponses DNS via le protocole de transport QUIC (Quick UDP Internet Connections).

Aujourd'hui, la plupart du trafic Internet est basé sur le protocole TCP (Transmission Control Protocol) ou sur le protocole UDP (User Datagram Protocol), les requêtes DNS étant souvent envoyées via UDP. Cependant, le protocole QUIC est né pour surmonter certains des inconvénients de TCP/UDP, contribuant ainsi à réduire la latence et à améliorer la sécurité.

QUIC est un protocole de transport relativement nouveau développé par  Google , conçu pour offrir de meilleures performances, sécurité et fiabilité que les protocoles traditionnels tels que TCP et TLS. QUIC combine les fonctionnalités de TCP et d'UDP et dispose d'un cryptage intégré similaire à TLS.

Parce qu'il est plus récent, DoQ offre plusieurs avantages par rapport aux protocoles mentionnés ci-dessus. Pour commencer, DoQ offre des performances plus rapides, une latence globale réduite et des temps de connexion améliorés. Cela se traduit par une résolution DNS plus rapide (temps nécessaire au DNS pour résoudre les adresses IP). En fin de compte, cela signifie que les sites Web vous sont proposés plus rapidement.

Plus important encore, DoQ est plus résistant à la perte de données que TCP et UDP, car il peut récupérer des paquets perdus sans nécessiter une retransmission complète, contrairement aux protocoles basés sur TCP.

De plus, il est également beaucoup plus facile de migrer les connexions à l’aide de QUIC. QUIC encapsule plusieurs threads dans une seule connexion, réduisant ainsi le nombre de boucles requises pour une connexion et améliorant ainsi les performances. Cela peut également être utile lors du basculement entre les réseaux WiFi et mobiles.

QUIC n’est pas encore largement adopté par rapport aux autres protocoles. Mais des entreprises comme Apple, Google et Meta utilisent déjà QUIC, créant souvent leurs propres versions (Microsoft utilise MsQUIC pour tout son trafic PME), ce qui est de bon augure pour l'avenir.

Les technologies émergentes devraient changer fondamentalement la façon dont nous accédons au Web. Par exemple, de nombreuses entreprises exploitent désormais les technologies blockchain pour proposer des protocoles de dénomination de domaine plus sécurisés, tels que HNS et Unstoppable Domains.