Qu’est-ce que le DNS et comment ça marche ?
Un serveur DNS est comme un annuaire public de l’Internet. Il vous dirige vers l’endroit où vous voulez aller.
(Il ne faut pas confondre un serveur DNS avec le DNS dynamique, qui fonctionne un peu à l’inverse).
Voici un exemple typique du rôle que joue le DNS :
Lorsque vous accédez à un site Web via son nom de domaine, tel que monserveurnas.com, le navigateur (Chrome, Firefox, Edge, etc.) interroge d’abord votre serveur DNS.
Dans la plupart des foyers, le routeur ou la box détient les informations du serveur DNS utilisé. Par défaut, il s’agit du serveur du fournisseur d’accès Internet.
Ce serveur recherche ensuite le nom de domaine du site web (aussi appelé adresse web ou URL) et renvoie son adresse IP, qui est une chaîne de chiffres aléatoire, au navigateur – chaque site web réside à une adresse IP. Le navigateur suit alors cette adresse IP pour charger le site web.
Ce processus est nécessaire car les ordinateurs ne comprennent que les chiffres, alors que les humains sont plutôt mauvais pour s’en souvenir. Cette page apparaît sur votre écran en ce moment même parce que ce processus a fonctionné.
À bien des égards, un serveur DNS est similaire au service d’annuaire téléphonique autrefois très répandu, où il suffisait de se souvenir du nom d’une personne et non de son numéro de téléphone.
Plus un serveur DNS est rapide, moins vous devez attendre pour atteindre un site web, ce qui se traduit par une expérience Internet « plus rapide » – il y a moins de temps d’attente avant qu’une page web ne commence à se matérialiser sur l’écran.
Selon la société de logiciels réseau Cloudflare, quatre serveurs principaux jouent un rôle dans la conversion du nom d’hôte en adresse IP, également appelée résolution DNS. Cloudflare compare ce processus à celui d’un bibliothécaire à qui l’on demanderait de trouver un livre et qui restreindrait progressivement sa recherche :
-
- Le serveur DNS récursif : C’est généralement le premier arrêt de votre requête. Il reçoit la requête initiale, vérifie les adresses récemment mises en cache et envoie une requête aux serveurs plus loin dans la chaîne s’il ne trouve pas la bonne adresse IP pour votre site Web. Il s’agit du casier des livres récemment retournés qui n’ont pas encore été remis en rayon.
- Le serveur de noms racine : Aide à traduire les noms de sites en IP en orientant votre requête vers des zones plus spécifiques. C’est l’équivalent d’une section spécifique de la bibliothèque.
- Le serveur de noms de domaine de premier niveau (TLD) : Réduit encore plus la recherche en hébergeant des domaines de premier niveau spécifiques, qui sont la dernière partie du nom d’hôte d’un site web, comme .com, .org ou .edu. Une recherche pour monserveurnas.com, par exemple, serait dirigée vers le serveur de noms du TLD .com. Il existe des banques de serveurs de noms TLD situées dans le monde entier afin d’améliorer la vitesse de traitement des demandes. Il s’agirait d’un casier spécifique de livres dans cette section.
- Le serveur de noms faisant autorité : Dernier arrêt de votre demande, ce serveur héberge des IP spécifiques pour les noms de domaine. Lorsqu’il reçoit la demande, il renvoie l’enregistrement DNS correspondant afin que la page Web puisse être chargée. Si le serveur ne dispose pas de l’enregistrement, il renvoie un message d’erreur. C’est le livre contenant les informations que le bibliothécaire s’est mis en tête de trouver.
Une fois l’adresse IP correcte trouvée, les informations sont renvoyées à votre navigateur et la page Web se charge. Le serveur DNS récursif stocke également cette IP dans sa mémoire cache pendant quelques secondes à une semaine. Cela permet au serveur de renvoyer rapidement l’adresse sans avoir à interroger les autres serveurs. Ce système est comparable à la mémoire vive de votre ordinateur, qui stocke des informations sur les applications récemment ouvertes afin d’y accéder plus rapidement lors de la prochaine utilisation.
Si une requête arrive jusqu’au niveau du serveur de noms faisant autorité et que l’adresse IP est toujours introuvable, un message d’erreur est renvoyé à votre navigateur. Ce processus peut sembler long, mais il se déroule en moins de temps qu’il ne vous en faut pour cligner des yeux, généralement quelques millisecondes.
Le DNS est aussi une question de confidentialité et de contrôle
Comme vous devez d’abord atteindre le serveur DNS avant tout autre endroit de l’Inter-web, comme vous pouvez l’imaginer, le propriétaire du serveur a, entre autres, la primeur de vos activités en ligne.
Par conséquent, votre serveur DNS dispose d’un journal des sites Web que vous visitez. Plus important encore, il a le contrôle ultime des endroits où vous pouvez aller sur Internet ou vous bloquer l’accès à des sites spécifiques, etc.
(À ce titre, l’utilisation du DNS est l’un des moyens les plus utilisés par les fabricants de matériel réseau pour proposer des fonctions de « contrôle parental »).
En bref, un serveur DNS peut avoir un impact sur la vitesse, la confidentialité et la sécurité de votre vie en ligne.
Quel est mon serveur DNS ?
Il s’agit plutôt de savoir qui.
Par défaut, si vous ne faites rien, votre serveur DNS est celui de votre FAI, ce qui fait l’affaire mais n’est pas forcément le mieux. Modifier les paramètres DNS vous permet de mieux contrôler votre accès Internet et peut même vous libérer de la censure.
En effet, lorsque vous voyagez dans certains pays, vous pouvez accéder à des services non disponibles dans la zone locale en utilisant différents serveurs DNS.
Ce qu’il faut retenir, c’est que le serveur DNS est très important. Veillez à utiliser des serveurs provenant de parties dignes de confiance. La bonne nouvelle est que vous pouvez choisir le vôtre.
Qu’est-ce que le DNSSec ?
Le DNSSec est un protocole de sécurité conçu par l’ICANN (The Internet Corporation for Assigned Names ) pour aider à rendre plus sûre la communication entre les différents niveaux de serveurs impliqués dans les recherches DNS. Il corrige les faiblesses de la communication entre les serveurs d’annuaire DNS de premier, deuxième et troisième niveau qui permettraient aux pirates de détourner les consultations.
Ce détournement permet aux pirates de répondre aux demandes de consultation de sites légitimes en dirigeant les utilisateurs vers un site malveillant. Ces sites pourraient télécharger des logiciels malveillants vers les utilisateurs ou mener des attaques de phishing.
Le DNSSec résout ce problème en demandant à chaque niveau de serveur DNS de signer numériquement ses requêtes, ce qui garantit que les requêtes envoyées par les utilisateurs finaux ne sont pas réquisitionnées par des hackers. Cela crée une chaîne de confiance de sorte qu’à chaque niveau de la recherche, l’intégrité de la demande est validée.
Le DNSSec peut également déterminer si un nom de domaine existe réellement et, si ce n’est pas le cas, empêcher qu’un domaine frauduleux soit livré à des demandeurs innocents cherchant à faire résoudre un nom de domaine.
La différence entre le DNS et HTTPS (DoH)
Bien que le DNSSec s’attaque aux vulnérabilités potentielles au sein du réseau distribué de serveurs DNS, il n’a certainement pas empêché les cyberattaques basées sur le DNS qui utilisent une forme de tromperie pour injecter un code malveillant dans le système DNS.
Dans l’un des plus grands changements de la longue histoire du DNS, Google, Mozilla et d’autres encouragent le passage des DNS vers du HTTPS ou DoH, une norme IETF qui chiffre les requêtes DNS de la même manière que le protocole HTTPS protège déjà la plupart du trafic Web.
Le passage à DoH n’est cependant pas sans controverse. En chiffrant les requêtes DNS, DoH pourrait empêcher les services informatiques des entreprises de surveiller l’activité web de leurs employés, et les parents se sont plaints du fait qu’il pourrait les empêcher de mettre en place un contrôle parental sur l’utilisation d’Internet par leurs enfants.
L’adoption du DNS sur HTTPS a été lente. Du côté des clients, DoH est fourni avec la dernière version de Google Chrome et Mozilla Firefox, mais il peut être désactivé par l’utilisateur final. Les organisations qui essaient d’avoir un certain contrôle sur les navigateurs et les versions de navigateurs utilisés par les employés peuvent simplement le désactiver. Du côté des fournisseurs d’accès, bon nombre des principaux FAI n’ont pas encore activé la fonction DoH de leur côté.
Comment modifier les paramètres DNS pour améliorer votre Internet ?
Vous pouvez modifier les paramètres du serveur DNS au niveau d’un périphérique (comme un ordinateur) ou de votre routeur Wi-Fi.
La première option fonctionne bien pour les utilisateurs mobiles puisque les paramètres DNS restent les mêmes où que soit l’utilisateur – c’est une bonne option pour un ordinateur portable. La seconde est utile pour l’ensemble du réseau hébergé par le routeur – tous les appareils, par défaut, partageront automatiquement les paramètres DNS du routeur.
Vous ne devez modifier le DNS au niveau de l’appareil que lorsque l’accès à Internet est tout ce qui vous intéresse, ce qui est le cas de la plupart des appareils domestiques.
Si vous disposez d’un réseau local spécial, tel qu’un réseau doté d’un contrôleur de domaine, vous devez laisser le DNS du périphérique géré automatiquement par le serveur DNS du réseau ou le routeur. Il s’agit du paramètre par défaut de tout appareil.
Dans ce cas, si vous modifiez les serveurs DNS de l’appareil, certains services locaux, tels que le partage de fichiers ou l’impression réseau, risquent de ne plus fonctionner.
Vous trouverez ci-dessous les étapes à suivre pour modifier les paramètres d’un serveur DNS.
Étapes à suivre pour modifier les paramètres DNS d’un ordinateur Windows
- Cliquez sur le bouton Démarrer (coin inférieur gauche), tapez ncpa.cpl dans le champ de recherche, puis appuyez sur Entrée. La fenêtre Connexions réseau apparaît.
- Choisissez la connexion réseau que vous utilisez – si vous êtes sur un ordinateur portable, il s’agit probablement de la connexion Wi-Fi – et cliquez dessus avec le bouton droit de la souris, puis choisissez Propriétés.
- Dans la fenêtre Propriétés, double-cliquez sur le protocole Internet version 4 (TCP/IPv4).
- Dans la fenêtre suivante, cochez la case Utiliser les adresses de serveur DNS suivantes et saisissez les adresses du serveur DNS préféré (vous pouvez utiliser 1.1.1.1 ici) et du serveur DNS alternatif (vous pouvez utiliser 8.8.8.8 ici).
- Répétez l’étape 3, mais cette fois-ci, double-cliquez sur Internet Protocol Version 6 (TCP/IPv6) si vous avez cette information (sinon, vous pouvez sauter cette étape). Cliquez ensuite sur OK pour fermer les fenêtres et appliquer les modifications.
Étapes à suivre pour modifier les paramètres DNS sur un Mac
- Cliquez sur l’icône Apple (coin supérieur gauche), puis sur Préférences Système, et enfin sur l’icône Réseau.
- Sélectionnez la connexion réseau actuelle (il s’agit probablement de la connexion Wi-Fi si vous utilisez un ordinateur portable), puis cliquez sur Avancé…
- Cliquez sur l’onglet DNS.
- Utilisez le bouton plus (+) sous Serveurs DNS pour entrer les adresses de votre choix. Par exemple, vous pouvez utiliser 1.1.1.1 pour le premier serveur et 8.8.8.8 pour le second.
Étapes à suivre pour modifier le DNS sur un routeur
Utilisez l’étape ci-dessous pour modifier les serveurs DNS de la connexion Internet du routeur, qui sont différents de ceux utilisés pour le réseau local.
(Vous devez modifier ces derniers – qui se trouvent généralement dans la section LAN de l’interface – lorsque vous souhaitez que le routeur dicte le serveur DNS que tous les périphériques connectés doivent utiliser. Cela ne s’applique que si vous disposez d’un réseau spécial, tel qu’un réseau doté d’un contrôleur de domaine ou d’un serveur DNS distinct).
- Connectez-vous à l’interface Web du routeur.
- Naviguez jusqu’à la section WAN (ou Internet) de l’interface ; chaque routeur possède cette section.
- Choisissez d’entrer les adresses des serveurs DNS manuellement (en fait, vous voulez désactiver la valeur par défaut qui permet au routeur de choisir automatiquement les serveurs DNS du fournisseur d’accès).
- Saisissez les adresses DNS de votre choix, par exemple 1.1.1.1 pour le serveur primaire et 8.8.8.8 pour le serveur secondaire (de secours).
- Appliquez les modifications.
Ce qu’il faut retenir sur le DNS
Compte tenu du rôle important de votre DNS, veillez à en choisir un auquel vous pouvez faire confiance lorsque vous modifiez les valeurs manuellement. En cas de doute, laissez le paramètre sur Auto, et le système utilisera la valeur par défaut, qui est généralement celle de votre fournisseur d’accès à Internet.
La modification du paramètre DNS est également un moyen populaire de « pirater » un système. Dans ce cas, les malfaiteurs capturent vos requêtes DNS pour vous envoyer vers des destinations ou des services fictifs. Assurez-vous de connaître vos paramètres DNS, notamment au niveau du routeur.