Le chaînon manquant du DNS : entre résolveur et serveur autoritaire

Quand on parle de sécurité DNS, on pense d’abord à DNSSEC ou aux requêtes chiffrées vers les résolveurs. Pourtant, un maillon reste souvent négligé : ce qui se passe entre le résolveur et les serveurs faisant autorité. Ce segment, appelé « middle mile », circule encore en clair sur Internet.

Les réunions récentes d’OARC ont remis ce sujet sur le devant de la scène. Même si vos utilisateurs profitent de DoH ou DoT jusqu’au résolveur, les requêtes que ce dernier envoie ensuite aux serveurs autoritaires restent exposées.

Pourquoi ce risque compte vraiment

Un attaquant qui intercepte ces échanges peut injecter des réponses frauduleuses. Les conséquences sont concrètes :

• Spoofing DNS : le trafic est détourné avant même d’atteindre votre résolveur.
• Fuites d’information : l’attaquant découvre la structure de vos zones et vos habitudes de requêtes.
• Empoisonnement de cache : plusieurs utilisateurs sont touchés en aval.
• Reconnaissance DDoS : l’attaquant observe vos patterns pour mieux cibler ses attaques.

Pour une startup hébergée chez NameOcean, le DNS est la carte de visite de votre activité. Toute manipulation peut rediriger vos visiteurs ou mettre vos services hors ligne.

Les pistes de chiffrement envisagées

La communauté teste plusieurs approches pour sécuriser ce lien :

• DoT vers les serveurs autoritaires : TLS dédié aux échanges résolveur-autoritaire, adapté aux volumes importants.
• DoH pour la résolution autoritaire : basé sur HTTP/2 ou HTTP/3, il tire parti des infrastructures existantes et offre de bonnes performances.
• Impact sur les performances : le chiffrement ajoute de la latence et de la charge CPU. Les débats portent sur le rapport coût-bénéfice, surtout pour les résolveurs traitant des millions de requêtes par seconde.

Une adoption qui exige de la coordination

Contrairement au chiffrement côté client, déjà déployé dans les navigateurs, le chiffrement autoritaire demande l’accord de plusieurs acteurs :

• les opérateurs de serveurs autoritaires,
• les opérateurs de résolveurs,
• les registrars et hébergeurs comme NameOcean,
• l’ensemble de l’infrastructure DNS.

Impossible de l’activer seul. Il faut que vos serveurs de noms, votre hébergeur et les gros résolveurs publics soient tous prêts.

Ce que vous pouvez faire dès aujourd’hui

Si vos domaines sont chez NameOcean, voici les actions concrètes :

1. Suivez l’évolution des transports chiffrés ; ils deviendront la norme.
2. Surveillez vos logs DNS via nos outils d’analyse pour repérer les anomalies.
3. Activez DNSSEC en attendant que les nouveaux protocoles arrivent.
4. Activez la journalisation des requêtes pour détecter les comportements suspects.

Vers une généralisation progressive

Les discussions d’OARC montrent que la faille est reconnue et que des solutions sont en route. La question n’est plus « si », mais « quand » et « comment ».

L’adoption se fera probablement par étapes : les grands acteurs mettront d’abord en place le support, puis les optimisations matérielles et logicielles réduiront le surcoût de performance. Chez NameOcean, notre approche Vibe Hosting pilotée par l’IA nous permet d’anticiper ces évolutions. Votre infrastructure gagne en sécurité sans effort supplémentaire de votre part.

En résumé

Le chiffrement entre résolveurs et serveurs autoritaires constitue la prochaine étape de la sécurité DNS. Il ne change rien à l’apparence pour l’utilisateur final, mais il protège l’intégrité même de vos noms de domaine. Vérifier que votre registrar et votre hébergeur suivent ces avancées deviendra bientôt aussi important que n’importe quel autre critère de sécurité.

Les débats d’aujourd’hui à OARC dessineront l’infrastructure DNS de demain. Il vaut la peine d’y prêter attention.