Chaque connexion internet commence par une requête DNS. Cette technologie fondamentale traduit les noms de domaine lisibles (comme acme-sas.com) en adresses IP exploitables par les machines. Pourtant, 90 % des entreprises ne surveillent pas leur trafic DNS, selon un rapport IDC de 2025. Cette négligence en fait un vecteur d'attaque privilégié : exfiltration de données, redirection vers des sites malveillants, attaques par amplification. Voici comment sécuriser ce maillon critique de votre infrastructure.
Comprendre le rôle du DNS dans votre infrastructure
Le Domain Name System est souvent comparé à un annuaire téléphonique d'internet. Lorsqu'un utilisateur tape une URL dans son navigateur, le résolveur DNS interroge une chaîne de serveurs pour obtenir l'adresse IP correspondante. Ce processus, invisible et quasi instantané, s'effectue des milliers de fois par jour dans une entreprise de taille moyenne. Le DNS est impliqué dans chaque accès web, chaque envoi d'e-mail, chaque synchronisation cloud.
Un protocole conçu sans sécurité
Le DNS a été conçu en 1983, à une époque où la sécurité n'était pas une priorité. Les requêtes circulent en clair sur le port 53 (UDP/TCP), sans chiffrement ni authentification. Un attaquant positionné sur le réseau peut intercepter, modifier ou usurper les réponses DNS. Cette faiblesse architecturale est à l'origine de nombreuses attaques modernes.
Les principales menaces DNS
DNS Spoofing et Cache Poisoning
Le DNS spoofing consiste à injecter de fausses réponses DNS dans le cache d'un résolveur. La victime est alors redirigée vers un site frauduleux tout en croyant accéder au site légitime. L'attaque de Kaminsky, révélée en 2008, a démontré la vulnérabilité systémique du protocole. Malgré les correctifs, le CERT-FR rapporte encore plus de 1 200 incidents de cache poisoning par an en France.
DNS Tunneling et exfiltration de données
Le DNS tunneling encode des données dans les requêtes et réponses DNS pour contourner les pare-feu. Cette technique est utilisée par des malwares sophistiqués pour communiquer avec leurs serveurs de commande (C2) ou exfiltrer des données sensibles. Selon Palo Alto Networks, 46 % des malwares utilisent le DNS à un moment de leur chaîne d'attaque. La détection est complexe car le trafic DNS est rarement filtré ou analysé en profondeur.
Attaques DDoS par amplification DNS
Les serveurs DNS ouverts peuvent être exploités comme amplificateurs dans des attaques par déni de service distribué. Un attaquant envoie une petite requête avec l'adresse source usurpée de la victime ; le serveur DNS répond avec un paquet jusqu'à 70 fois plus volumineux. En 2025, Cloudflare a enregistré des attaques DDoS DNS dépassant 2 Tbps.
Ces menaces DNS s'inscrivent dans une stratégie de défense globale qui inclut l'architecture Zero Trust et la mise en place des réflexes essentiels de cybersécurité.
Sécuriser votre infrastructure DNS
DNSSEC : authentifier les réponses
Le DNSSEC (DNS Security Extensions) ajoute une couche de signature cryptographique aux réponses DNS. Chaque enregistrement est signé avec une clé privée, permettant au résolveur de vérifier l'authenticité de la réponse. DNSSEC ne chiffre pas le trafic mais garantit l'intégrité des données. En France, l'AFNIC rapporte que seulement 35 % des domaines .fr activent DNSSEC — un chiffre en progression mais encore insuffisant.
DoH et DoT : chiffrer les requêtes
DNS over HTTPS (DoH) et DNS over TLS (DoT) chiffrent les requêtes DNS pour empêcher l'interception. DoH encapsule le DNS dans du trafic HTTPS standard (port 443), le rendant indistinguable du trafic web normal. DoT utilise un port dédié (853) et offre une meilleure visibilité pour les administrateurs réseau. Pour les entreprises, DoT est généralement préférable car il permet au pare-feu de distinguer le trafic DNS du trafic web.
Filtrage DNS et threat intelligence
- Déployez un résolveur DNS filtrant (Quad9, Cisco Umbrella, Cloudflare Gateway) qui bloque les domaines malveillants connus.
- Activez la journalisation DNS pour détecter les comportements anormaux : requêtes vers des domaines aléatoires, volumes inhabituels, requêtes TXT suspectes.
- Intégrez les flux de threat intelligence DNS dans votre SIEM pour corréler les alertes.
Points clés pour durcir votre infrastructure DNS
Le DNS reste l'un des maillons les plus sous-estimés de la sécurité réseau. Un détournement DNS peut rediriger l'ensemble du trafic de votre entreprise vers des serveurs malveillants sans déclencher la moindre alerte si les bonnes protections ne sont pas en place.
- Activez DNSSEC sur tous vos domaines pour garantir l'authenticité des réponses DNS et empêcher les attaques par empoisonnement de cache.
- Déployez DNS-over-HTTPS (DoH) ou DNS-over-TLS (DoT) pour chiffrer les requêtes entre vos postes et vos résolveurs, éliminant ainsi l'interception en clair.
- Séparez les rôles : vos serveurs DNS faisant autorité ne doivent jamais servir de résolveurs récursifs. Cette séparation limite la surface d'attaque.
- Surveillez les requêtes anormales : un volume soudain de requêtes TXT vers des domaines inconnus est souvent le signe d'une exfiltration de données par tunnel DNS.
Mettez en place un monitoring continu de vos enregistrements DNS critiques (MX, SPF, DMARC, CNAME). Toute modification non planifiée doit générer une alerte immédiate. Cette vigilance permanente transforme le DNS d'un point de faiblesse en véritable rempart de votre infrastructure.
Chez ACME, nous déployons des architectures DNS sécurisées intégrant DNSSEC, filtrage DNS avancé et supervision en temps réel. Nos solutions bloquent en moyenne 15 000 requêtes malveillantes par mois pour une PME de 50 postes, avant même qu'elles n'atteignent le réseau.
Bonnes pratiques de gestion DNS
- Maintenez un inventaire à jour de tous vos enregistrements DNS et supprimez les entrées obsolètes (dangling DNS).
- Activez le verrouillage de transfert de zone (zone transfer lock) pour empêcher la copie non autorisée de vos enregistrements.
- Utilisez des comptes séparés avec MFA pour l'administration DNS chez votre registrar.
- Configurez des TTL adaptés : courts pour les enregistrements susceptibles de changer, longs pour les enregistrements stables afin de réduire la surface d'attaque.
FAQ
Comment savoir si mon entreprise est vulnérable aux attaques DNS ?
Commencez par vérifier si DNSSEC est activé sur vos domaines (des outils gratuits comme DNSViz le permettent). Analysez vos journaux DNS pour détecter des requêtes vers des domaines suspects ou un volume anormal. Testez si vos serveurs DNS répondent aux requêtes récursives depuis l'extérieur — si oui, ils peuvent être exploités comme amplificateurs DDoS. Un audit de sécurité DNS complet prend généralement une demi-journée pour une infrastructure PME.
Le passage à DoH ou DoT peut-il perturber mon réseau ?
La migration vers DoT ou DoH nécessite une planification. Si vous utilisez un proxy ou un filtrage web qui repose sur l'inspection DNS, le chiffrement peut contourner ces contrôles. La solution consiste à déployer un résolveur DoT/DoH interne qui assure à la fois le chiffrement vers l'extérieur et le filtrage en interne. La plupart des pare-feu nouvelle génération supportent nativement cette configuration.
Faut-il gérer son propre serveur DNS ou utiliser un service externe ?
Pour les PME, un service DNS managé (Cloudflare, AWS Route 53, Google Cloud DNS) offre une meilleure disponibilité, une protection DDoS intégrée et une administration simplifiée. Le coût est négligeable (souvent moins de 10 € par mois). La gestion interne se justifie pour les grandes entreprises ayant des exigences de souveraineté ou des infrastructures complexes avec des zones DNS privées.