DNS de protection : la couche que beaucoup négligent

7 min de lecture

Avant qu’un malware n’atteigne son serveur de contrôle, il effectue une requête DNS. Avant qu’un collaborateur n’atterrisse sur une page de connexion falsifiée, son ordinateur résout le domaine correspondant. Presque chaque attaque s’arrête à un endroit que de nombreuses entreprises ne filtrent jamais : le DNS. Le Protective DNS comble exactement cette faille et constitue l’une des couches de sécurité les moins coûteuses.

Les points clés en bref

Le DNS est le dénominateur commun : Le contrôle des malwares, le phishing et la fuite de données commencent presque toujours par une résolution de noms. Ne pas filtrer le DNS, c’est laisser inutilisé le tout premier niveau de détection.
Le Protective DNS bloque à la racine : Un résolveur durci compare chaque requête à des données sur les menaces et bloque les serveurs de contrôle connus, les domaines fraîchement enregistrés et les pages de phishing avant même que la connexion ne soit établie.
Le DNS chiffré est le talon d’Achille : DNS over HTTPS contourne le résolveur d’entreprise et donc le filtre. Ne pas contrôler ce canal, c’est neutraliser sa propre couche de protection.

Pourquoi les attaquants passent par le DNS

Le DNS est l’annuaire d’Internet. Chaque connexion commence par la traduction d’un nom en adresse. Cela vaut aussi bien pour l’appel d’un site web que pour un malware qui, après infection, contacte son serveur de contrôle. C’est précisément pour cette raison que le DNS constitue le point de passage obligé de presque toute chaîne d’attaque, qu’il s’agisse de phishing, de chargement de code malveillant ou de fuite discrète de données.

La plupart des mesures de protection interviennent plus tard. L’antivirus analyse le fichier, le pare-feu contrôle le trafic, et l’EDR surveille le comportement sur le poste de travail. La requête DNS qui précède ces étapes transite souvent sans filtrage dans de nombreux réseaux, directement vers un résolveur public. Cela revient à gâcher la chance d’arrêter une attaque avant même qu’elle n’établisse une connexion.

Ce niveau de détection n’est pas seulement précoce, il est aussi peu coûteux. Toute entreprise exploitant déjà le DNS (ce qui est le cas de toutes) peut souvent renforcer sa protection à l’aide de son infrastructure existante. Cela fait du Protective DNS l’une des rares couches de sécurité offrant un excellent rapport effort/efficacité.

Qu’est-ce que le Protective DNS ? Le Protective DNS est un résolveur DNS qui compare chaque résolution de noms à des données sur les menaces et bloque ou redirige les requêtes vers des domaines malveillants connus. Au lieu de renvoyer une adresse dangereuse, il répond par une page de blocage. Des autorités comme le BSI et des services de sécurité dans plusieurs pays recommandent expressément cette approche.

Ce qu’un resolver renforcé bloque

Un service de DNS protégé fonctionne avec des listes de blocage alimentées par des données de menace constamment mises à jour. Techniquement, il utilise souvent les Response Policy Zones, c’est-à-dire des règles qui empêchent la résolution de domaines définis dès le départ. Le bénéfice pratique réside dans les catégories couvertes et dans les zones aveugles délibérément laissées ouvertes.

Ce que fait le DNS protégé

Bloque les serveurs d’imposition connus des logiciels malveillants
Arrête les domaines de phishing et de typosquatting
Intervient tôt sur les domaines fraîchement enregistrés
Fournit des logs précieux pour identifier les hôtes compromis

Où se trouvent les limites

Les domaines inconnus et tout nouveaux passent à travers
Les connexions directes via une adresse IP contournent le DNS
Le DNS chiffré neutralise le filtre
Aucun remplacement de l’EDR, du patching et de la segmentation

Le DNS protégé n’est donc pas un remède universel, mais une couche dans la pile. Il soulage tôt et économiquement beaucoup de charge des étapes ultérieures, sans toutefois les remplacer. C’est exactement cette évaluation qui déterminera si son introduction constitue un gain en sécurité ou une tranquillité trompeuse.

L’ouverture créée par le DNS chiffré

Le plus grand obstacle pratique porte un nom peu spectaculaire : DNS over HTTPS. Les navigateurs modernes et nombreuses applications peuvent envoyer leurs requêtes DNS chiffrées et directement à un fournisseur externe, en contournant le resolver de l’entreprise. Du point de vue de la protection de la vie privée, c’est souhaitable. Du point de vue de la défense, c’est un trou, car le filtre DNS protégé ne voit jamais ces requêtes.

Les logiciels malveillants utilisent également de plus en plus ce chemin, notamment pour contourner les filtres. Celui qui introduit le DNS protégé sans contrôler le DNS chiffré ferme la porte d’entrée mais laisse la fenêtre ouverte. C’est précisément à cet endroit que j’ai déjà vu des configurations qui semblaient propres sur papier, mais ne résistaient à rien en pratique.

Les contre-mesures sont connues, mais nécessitent de la discipline : imposer son propre resolver comme seul chemin autorisé pour le DNS, bloquer le DNS chiffré externe sur le pare-feu et accorder des exceptions de manière consciente et documentée. Sans ce pas, le filtre le plus élégant reste inefficace.

Comment activer Protective DNS

L’activation est simple à condition de respecter l’ordre. Celui qui commence par bloquer avant même de connaître ce qui est normal dans son réseau génère surtout des perturbations et une acceptation brûlée.

Activation en quatre étapes

Étape 1

Démarrer par l’observation. Laisser d’abord uniquement enregistrer le resolver durci, ne pas bloquer. Ainsi, vous verrez quels domaines le réseau consulte vraiment et éviterez les mauvaises surprises.

Étape 2

Bloquer progressivement. Bloquer d’abord clairement les catégories malveillantes, puis affiner. Une liste d’exclusions courte pour les cas légitimes doit être prévue dès le départ.

Étape 3

Fermer le DNS chiffré. Bloquer le DNS over HTTPS externe sur la firewall et imposer le resolver interne comme seul chemin. Sans cette étape, le filtre peut être contourné.

Étape 4

Récupérer les logs pour la détection. Alimenter les protocoles d’interrogation dans le SIEM. Un hôte qui sollicite fréquemment des domaines bloqués est un signal fiable d’une compromission.

Foire aux questions

Protective DNS remplace-t-il ma firewall ou mon EDR ?

Non. Protective DNS est une couche tôt et peu coûteuse qui arrête de nombreux attaques avant l’établissement de la connexion. La firewall, l’EDR, les mises à jour et la segmentation restent nécessaires. Protective DNS allège ces couches précocement, avant que la connexion n’ait même lieu.

Quelle est la différence entre Protective DNS et un résolveur DNS normal ?

Un résolveur DNS normal résout toutes les requêtes, même celles vers des domaines malveillants. Un résolveur DNS Protective compare chaque requête aux données de menace et refuse la résolution des adresses dangereuses, souvent via des zones de politique de réponse.

Pourquoi le DNS chiffré est-il un problème ?

DNS over HTTPS envoie les requêtes directement vers des fournisseurs externes, passant outre le résolveur de l’entreprise. Ainsi, le propre filtre ne voit plus ces requêtes. Sans contrôle sur ce canal, Protective DNS peut être contourné, soit par les utilisateurs, soit par le logiciel malveillant.

Protective DNS convient-il aussi aux petites entreprises ?

Justement là. Le travail est faible, souvent suffit l’infrastructure existante ou un service hébergé. Pour les équipes sans grand SOC, c’est l’une des rares mesures avec effet immédiat et faible entretien.

Comment éviter que des services légitimes soient bloqués ?

En commençant l’activation en mode d’observation pur et en suivant le blocage progressivement. Une liste d’exclusions bien tenue et un chemin clair pour les faux positifs maintiennent l’acceptation au sein de l’organisation.