• Qu'est-ce qu'un serveur DNS ? Comment fonctionne-t-il et pourquoi est-il important ?

Qu'est-ce qu'un serveur DNS ? Comment fonctionne-t-il et pourquoi est-il important ?

Blog

Un serveur DNS (Domain Name System) est un composant essentiel de l'internet qui permet la traduction des noms de domaine lisibles par l'homme en adresses IP.

par Ahona Rudra

Dernière mise à jour :
9 Temps de lecture : 9 min
Qu'est-ce qu'un serveur DNS ? Comment fonctionne-t-il et pourquoi est-il important ?
Table des matières-

Points clés à retenir

  • Un serveur DNS traduit les noms de domaine lisibles par l'homme en adresses IP, ce qui permet une navigation conviviale sur l'internet.
  • Les serveurs DNS reçoivent une requête de nom de domaine de la part d'un client et la transmettent à travers une hiérarchie de serveurs DNS jusqu'à ce que l'adresse IP correspondante soit trouvée.
  • Il existe différents types de serveurs DNS, notamment les serveurs récursifs, les serveurs faisant autorité, les serveurs de mise en cache et les serveurs de transfert, chacun remplissant une fonction spécifique dans le processus de résolution DNS.
  • Les serveurs DNS ne simplifient pas seulement l'accès au web, ils améliorent également la répartition de la charge, la redondance et la sécurité du trafic des sites web.
  • Il est essentiel de comprendre le fonctionnement des serveurs DNS pour résoudre les problèmes de connectivité Internet et optimiser les performances en ligne.

Chaque fois que vous tapez l'adresse d'un site web et que vous appuyez sur Entrée, quelque chose se passe en une fraction de seconde avant que la page ne s'affiche : une recherche silencieuse que vous ne voyez jamais, à laquelle vous ne pensez jamais et dont vous remarquez rarement le bon fonctionnement. C'est le rôle d'un serveur DNS.

Dans cet article, nous allons voir comment fonctionnent les serveurs DNS, quelles menaces pèsent sur eux et pourquoi ils constituent un maillon essentiel de la sécurité sur Internet, notamment lorsqu'il s'agit de protéger les systèmes de messagerie contre l'usurpation d'identité et les abus.

Qu'est-ce qu'un serveur DNS ?

Un serveur DNS vous permet d'accéder à des sites web en utilisant de simples noms de domaine plutôt que de longues adresses IP numériques. Lorsque vous saisissez une URL dans votre navigateur, un serveur DNS traduit ce nom en une adresse IP valide afin que votre requête parvienne à la bonne destination.

On le décrit souvent comme l'annuaire téléphonique d'Internet, mais cette comparaison n'explique qu'une partie de la réalité. Pour être précis : le DNS est le système et le protocole sous-jacent qui permet la résolution des noms de domaine, tandis qu'un serveur DNS est l'infrastructure qui le fait fonctionner et qui répond à vos requêtes.

Fonction principale

Les serveurs DNS convertissent les noms de domaine, faciles à retenir pour les humains, en adresses IP lisibles par les machines. Par exemple : vous tapez « wikipedia.org », votre serveur DNS renvoie « 208.80.154.224 », puis votre navigateur se connecte à cette adresse IP pour charger la page.

Cette traduction s'effectue automatiquement en arrière-plan chaque fois que vous consultez un site web, envoyez un e-mail ou utilisez une application.

Pourquoi ne pas simplement utiliser les adresses IP ?

Techniquement, c'est possible, mais ce ne serait pas pratique pour les raisons suivantes :

  • Il est bien plus difficile de mémoriser des adresses IP complexes comme 142.250.190.46 que de retenir google.com. Chaque site a une adresse IP différente, ce qui rend pratiquement impossible de toutes les mémoriser.
  • Les serveurs sont migrés, remplacés ou répartis entre plusieurs machines via un système de répartition de charge. Les noms de domaine restent inchangés tandis que les adresses IP sous-jacentes changent en arrière-plan.
  • Les grands sites utilisent des dizaines, voire des centaines d'adresses IP. Le DNS peut vous rediriger vers celle qui est la plus proche ou la moins sollicitée sans que vous vous en rendiez compte.

Comment fonctionne la résolution DNS

Chaque fois que vous consultez un site web ou envoyez un e-mail, une requête DNS s'effectue en arrière-plan. Même si cela semble instantané, ce processus obéit à une procédure bien définie.

Dans les grandes lignes, le processus se présente comme suit :

  • Votre navigateur envoie une requête à un résolveur récursif
  • Le résolveur vérifie dans son cache s'il existe déjà une réponse
  • S'il ne le trouve pas, il interroge les serveurs de noms racine
  • La requête est transmise au serveur du domaine de premier niveau (TLD) concerné (.com, .org, etc.)
  • Le serveur TLD pointe vers le serveur de noms faisant autorité
  • Le serveur de référence renvoie l'adresse IP correcte
  • Le résolveur met en cache la réponse en fonction du délai de validité (TTL)
  • Votre navigateur se connecte au serveur de destination

La mise en cache joue ici un rôle important : si une réponse DNS est déjà enregistrée, le processus est beaucoup plus rapide ; dans le cas contraire, la chaîne de recherche complète est déclenchée. Ce système est efficace, mais il comporte également des points de faille où des problèmes peuvent survenir ou où des manipulations sont possibles.

Vous pouvez vérifier la résolution DNS de votre domaine en temps réel à l'aide de notre outil gratuit de recherche DNS.

Les 4 principaux types de serveurs DNS

Les quatre principaux types de serveurs DNS

Pour bien comprendre le DNS, il est utile de connaître les rôles joués par les différents types de serveurs DNS:

Résolveur récursif

Le résolveur récursif est la première étape de votre requête. Il sert d'intermédiaire entre votre appareil et le reste du système DNS.

Serveurs de noms racine

Ces serveurs se situent au sommet de la hiérarchie DNS. Ils redirigent les requêtes vers les serveurs de domaine de premier niveau appropriés.

Serveurs de noms de domaine de premier niveau

Les serveurs de noms de domaine de premier niveau (TLD) gèrent les extensions de domaine telles que .com, .net ou .org et redirigent les requêtes vers le serveur de référence approprié.

Serveurs de noms faisant autorité

Ce sont eux qui fournissent la réponse définitive. Les serveurs de noms faisant autorité stockent les enregistrements DNS d'un domaine, notamment les enregistrements A, MX et TXT. Pour la messagerie électronique et la sécurité, le serveur faisant autorité revêt une importance particulière, car c'est là que sont stockés les enregistrements d'authentification.

Menaces pour la sécurité du DNS : pourquoi les serveurs DNS constituent une surface d'attaque

À l'origine, le DNS n'a pas été conçu dans une optique de sécurité renforcée. De ce fait, il est devenu une cible fréquente pour les pirates. Parmi les attaques DNS les plus courantes, on peut citer :

Usurpation DNS (empoisonnement du cache)

Usurpation DNS (empoisonnement du cache)
Usurpation d'adresse DNS Il s'agit d'une faille de sécurité dans laquelle des pirates injectent de fausses informations DNS dans le cache d'un résolveur. Cela peut rediriger les utilisateurs vers des sites web malveillants à leur insu.

Comment ça marche :

Lorsque vous saisissez une URL telle que « yourbank.com » dans votre navigateur, votre ordinateur demande à un serveur DNS de traduire ce nom en une adresse IP (l'adresse numérique réelle du serveur). L'usurpation DNS se produit lorsqu'un pirate injecte de fausses informations dans le processus de recherche DNS. Cela amène le serveur DNS à renvoyer l'adresse IP d'un serveur malveillant au lieu de la bonne. Votre navigateur se connecte alors au site de l'attaquant, souvent sans qu'aucun signe évident ne laisse penser que quelque chose ne va pas.

Risques liés à l'usurpation d'adresse DNS :

  • Les pirates peuvent créer de fausses versions très réalistes de sites bancaires, de pages de connexion à des messageries électroniques ou d'autres services afin de dérober des identifiants et des données personnelles.
  • Ils peuvent également s'en servir pour diffuser des logiciels malveillants, ou pour censurer ou surveiller le trafic. Comme l'URL affichée dans votre navigateur semble toujours correcte, les victimes ne se rendent souvent pas compte qu'elles ont été redirigées.

Détournement de DNS

Détournement de DNS-

Dans le cadre d'un détournement DNS, les pirates prennent le contrôle des paramètres ou des enregistrements DNS. Cela leur permet de rediriger le trafic, d'intercepter les communications ou de manipuler des services tels que la messagerie électronique.

Comment ça marche :

Il existe plusieurs façons courantes dont le détournement DNS peut se produire :

  • Dans le cas d'un détournement local, un logiciel malveillant présent sur votre appareil modifie les paramètres DNS de votre système afin de les rediriger vers un serveur malveillant.
  • Dans le cadre d'un détournement de routeur, les pirates exploitent des identifiants de connexion faibles ou par défaut pour modifier les paramètres DNS de votre routeur domestique ou professionnel, ce qui affecte ensuite tous les appareils connectés au réseau.
  • Dans le cadre d'une attaque de type « man-in-the-middle », les pirates interceptent le trafic DNS entre vous et votre serveur DNS légitime, et modifient les réponses en cours de transmission.
  • Lors d'attaques par serveur DNS malveillant, les pirates compromettent un serveur DNS existant au niveau du fournisseur d'accès à Internet (FAI) ou de l'organisation, ce qui peut toucher simultanément un très grand nombre d'utilisateurs.

Risques liés au détournement de DNS :

  • Vol d'identifiants via de fausses pages de connexion, diffusion de logiciels malveillants, injection de publicités ou surveillance.
  • Rediriger les utilisateurs vers des pages publicitaires ou de recherche lorsqu'ils se trompent en saisissant un nom de domaine, ou bloquer l'accès à certains sites.

Attaques par amplification DNS

Attaques par amplification DNS-

Les attaques par amplification DNS sont utilisées dans le cadre d'attaques par déni de service distribué, au cours desquelles les pirates saturent les systèmes en exploitant les réponses aux requêtes DNS.

Comment ça marche :

L'attaquant envoie des requêtes DNS à des résolveurs DNS accessibles au public, mais usurpe l'adresse IP d'origine de ces requêtes afin qu'elles semblent provenir de l'adresse IP de la victime. Le serveur DNS, croyant que la requête émane de la victime, envoie sa réponse à cette dernière plutôt qu'à l'attaquant.

En choisissant des types de requêtes qui génèrent des réponses volumineuses (comme les requêtes ANY ou les enregistrements liés au protocole DNSSEC), l'attaquant peut transformer une petite requête d'environ 60 octets en une réponse de plusieurs milliers d'octets. Ce facteur d'amplification peut atteindre 50 fois ou plus, ce qui signifie qu'un attaquant disposant d'une bande passante modeste peut générer un déluge de données plusieurs fois plus important à l'encontre de la victime.

Risques liés aux attaques par amplification DNS :

  • Interruption du service
  • Perte de chiffre d'affaires
  • Risque d'atteinte à la réputation

Comment le protocole DNSSEC contribue à protéger l'intégrité du DNS

Le protocole DNSSEC(Domain Name System Security Extensions) ajoute une couche de vérification aux réponses DNS. Au lieu de se fier aveuglément à une réponse DNS, le protocole DNSSEC garantit que celle-ci est authentique et n'a pas été altérée pendant la transmission. Pour ce faire, il utilise des signatures cryptographiques. Voici comment il protège l'intégrité du DNS :

1. Empêche l'usurpation DNS : les pirates tentent souvent d'injecter de fausses réponses DNS. Grâce au protocole DNSSEC, ces fausses réponses ne comportent pas de signatures valides et sont donc rejetées par votre résolveur.

2. Garantit que les données n'ont pas été modifiées : le protocole DNSSEC garantit que l'adresse IP que vous recevez correspond exactement à celle publiée par le propriétaire du domaine et que personne ne l'a modifiée pendant la transmission.

3. Vérifie l'authenticité de la source des données : le protocole DNSSEC garantit que la réponse provient bien du serveur DNS de référence pour ce domaine, et non d'un pirate se faisant passer pour celui-ci.

4. Crée une chaîne de confiance : le protocole DNSSEC fonctionne selon une hiérarchie : zone racine → TLD (.com, .org) → domaine, chaque niveau validant le suivant à l'aide de clés cryptographiques. Si un maillon de la chaîne vient à manquer, la validation échoue

Vous pouvez vérifier votre configuration DNSSEC à l'aide de notre outil gratuit de vérification DNSSEC.

Outre le protocole DNSSEC, des protocoles plus récents tels que le DNS sur HTTPS (DoH) et le DNS sur TLS (DoT) contribuent à protéger les requêtes DNS contre toute interception.

  • DoH envoie ses requêtes DNS via HTTPS (le même protocole que celui utilisé pour le trafic Web sécurisé), ce qui les rend plus difficiles à distinguer de la navigation normale et facilite le contournement des filtres réseau.
  • DoT envoie ses requêtes DNS via une connexion TLS cryptée dédiée (généralement sur le port 853), garantissant ainsi une confidentialité renforcée grâce à une séparation plus nette par rapport au trafic Web habituel.

Si ces technologies renforcent la sécurité, elles ne sont pas toujours généralisées. Il en résulte des failles que les pirates peuvent encore exploiter.

Authentification DNS et e-mail : la connexion directe

Le DNS joue un rôle central dans l'authentification des e-mails. Sans les enregistrements DNS (publiés sur des serveurs DNS de référence), les normes modernes de sécurité des e-mails ne pourraient pas fonctionner.

Trois protocoles clés reposent entièrement sur le DNS :

  • Sender Policy Framework (SPF) spécifient quels serveurs sont autorisés à envoyer des e-mails au nom d'un domaine
  • Les enregistrementsDKIM(DomainKeys Identified Mail) publient les clés publiques utilisées pour vérifier les signatures des e-mails
  • Les enregistrementsDMARC(Domain-based Message Authentication, Reporting & Conformance) définissent la manière dont les serveurs destinataires doivent traiter les échecs d'authentification

Toutes ces informations sont stockées sous forme d'enregistrements DNS sur le serveur de noms faisant autorité. Cela crée une dépendance importante. Si votre DNS est mal configuré ou compromis, l'authentification de vos e-mails peut cesser de fonctionner complètement.

Par exemple, si un pirate parvient à accéder à votre DNS :

  • Ils peuvent modifier SPF pour autoriser des expéditeurs malveillants
  • Elles peuvent remplacer les clés DKIM
  • Elles peuvent affaiblir ou désactiver les politiques DMARC

Au-delà de ces trois protocoles fondamentaux, d'autres normes telles quele protocole MTA-STS(Mail Transfer Agent Strict Transport Security), le protocole TLS-RPT (Transport Layer Security Reporting) etle protocole BIMI( Brand Indicators for Message Identification ) sont également mises en œuvre via des enregistrements DNS.

Dépannage : le serveur DNS ne répond pas

L'une des difficultés les plus courantes liées au DNS auxquelles les utilisateurs sont confrontés est l'erreur « Le serveur DNS ne répond pas ». Cette erreur signifie que votre appareil a bien envoyé une requête DNS, mais qu'il n'a pas reçu de réponse du serveur DNS dans le délai prévu. Sans cette réponse, votre navigateur ne peut pas traduire un nom de domaine tel que google.com en adresse IP ; la connexion échoue donc et vous ne pouvez pas accéder au site, même si votre connexion Internet fonctionne normalement.

Ce problème peut survenir pour les raisons suivantes :

  • Problèmes de connectivité réseau
  • Paramètres DNS mal configurés
  • Problèmes liés au routeur ou au fournisseur d'accès Internet
  • Interférences dues au pare-feu ou à l'antivirus
  • Interruptions temporaires des serveurs DNS

Dans la plupart des cas, vous pouvez résoudre ce problème en suivant quelques étapes simples :

Étape 1 : Redémarrez votre routeur et votre appareil

Débranchez le câble d'alimentation de votre routeur et de votre modem, puis attendez 30 secondes. Rebranchez ensuite le modem en premier, puis le câble du routeur, et attendez encore 1 à 2 minutes avant de redémarrer votre appareil.

Étape 2 : Videz votre cache DNS

Votre appareil conserve un cache local des requêtes DNS afin d'accélérer le processus. Si ce cache contient des entrées obsolètes ou corrompues, votre appareil risque de continuer à essayer de contacter un serveur qui n'est plus accessible.

Sous Windows 10 ou 11 :

  1. Appuyez sur la touche Windows, tapez « cmd », cliquez avec le bouton droit sur « Invite de commandes », puis sélectionnez « Exécuter en tant qu'administrateur ».
  2. Dans la fenêtre noire qui s'ouvre, tapez ipconfig /flushdns et appuyez sur Entrée.
  3. Vous devriez voir s'afficher le message suivant : « Le cache du résolveur DNS a été vidé avec succès. »

Sous macOS :

  1. Ouvrez Terminal (appuyez sur Cmd + Espace, tapez « Terminal », puis appuyez sur Entrée).
  2. Tapez sudo dscacheutil -flushcache ; sudo killall -HUP mDNSResponder, puis appuyez sur Entrée.
  3. Saisissez votre mot de passe administrateur lorsque vous y êtes invité

Découvrez en détail comment vider le cache DNS sur différents systèmes d'exploitation.

Étape 3 : Passez à un fournisseur de DNS public

Les serveurs DNS de votre FAI sont souvent plus lents, moins fiables et font parfois l'objet de filtrage ou d'enregistrement. Les fournisseurs de DNS publics tels que Cloudflare et Google exploitent d'immenses réseaux mondiaux spécialement optimisés pour une résolution DNS rapide et précise.

Les serveurs recommandés sont ceux de Cloudflare : 1.1.1.1 (principal) et 1.0.0.1 (secondaire), ou ceux de Google : 8.8.8.8 (principal) et 8.8.4.4 (secondaire).

Étape 4 : Vérifiez les paramètres de votre carte réseau

Il arrive parfois que la carte réseau présente des paramètres incorrects, des pilotes obsolètes ou une pile de protocoles endommagée. Vérifiez vos connexions actives, déconnectez-vous, puis reconnectez-vous pour voir si cela permet de résoudre le problème.

Étape 5 : Désactivez temporairement les logiciels de sécurité incompatibles

Les suites antivirus, les pare-feu et les réseaux privés virtuels (VPN) intègrent souvent leurs propres mécanismes de filtrage ou d'interception DNS. Lorsque ceux-ci fonctionnent mal, ils peuvent bloquer discrètement des réponses DNS légitimes.

  • Déconnectez vos clients VPN
  • Mise en pause de la protection pour votre logiciel antivirus tiers
  • Désactivez temporairement le pare-feu de votre réseau actif, effectuez un test, puis réactivez-le immédiatement.
  • Assurez-vous qu'aucun proxy manuel n'est activé, sauf si vous en avez spécifiquement besoin.

Remarque importante : si la désactivation de l'un de ces éléments résout le problème, cela signifie que celui-ci provient de la configuration du logiciel concerné, et non du logiciel lui-même. Vous ne devez pas désactiver vos outils de sécurité ; vous devez plutôt reconfigurer l'outil en cause (souvent en autorisant votre serveur DNS dans ses paramètres) ou contacter son service d'assistance.

Conclusion : pourquoi cela est-il important pour votre organisation ?

Un serveur DNS fiable est la base d'un programme de messagerie sécurisé. Pour les organisations qui dépendent de la messagerie électronique, le choix d'un serveur DNS adapté est d'autant plus crucial.

Une configuration défaillante du serveur DNS peut entraîner des attaques par usurpation d'adresse e-mail et par hameçonnage, une perte de confiance dans le domaine, des échecs de livraison et une atteinte à la réputation. Il est essentiel de mettre en place une infrastructure DNS sécurisée, associée à une configuration adéquate SPF, DKIM et DMARC, afin de protéger à la fois vos utilisateurs et votre marque.

Vérifiez les enregistrements DNS de votre domaine à l'aide d'un outil gratuit d'analyse de domaine afin de vous assurer que vos protocoles d'authentification des e-mails sont correctement configurés.

Foire aux questions

À quoi sert un serveur DNS ?

Un serveur DNS convertit les noms de domaine lisibles par l'utilisateur en adresses IP afin que les navigateurs puissent localiser et charger les sites web.

Quelle est la différence entre un serveur DNS et un enregistrement DNS ?

Un serveur DNS est le système qui stocke les requêtes et y répond, tandis qu'un enregistrement DNS est une entrée spécifique (comme un enregistrement A ou MX) qui définit comment un domaine doit être résolu ou géré.

Quel est le meilleur serveur DNS à utiliser ?

Le choix du meilleur serveur DNS dépend de vos besoins, mais parmi les options les plus populaires et les plus fiables, on peut citer Google Public DNS et Cloudflare, qui se distinguent par leur rapidité, leur sécurité et leur disponibilité mondiale.

Derniers messages de Ahona Rudra (voir tous)
Dernière mise à jour :
Comment configurer DMARC ?Comment configurer DMARCComprendre les vulnérabilités de type "Zero Day" (jour zéro)Comprendre les vulnérabilités Zero-Day : Ce qu'elles sont et comment elles menacent...