La grande image: Le processus de recherche de nom de domaine est l’une des failles les plus importantes de la sécurité des réseaux. Bien qu’il soit crucial pour traduire des adresses Web conviviales en numéros IP que les ordinateurs peuvent comprendre, le DNS est trop « ouvert ». Tout, de votre navigateur aux applications en passant par les composants du système d’exploitation, diffuse les requêtes DNS en clair, les rendant vulnérables aux attaques de surveillance et de détournement.
Microsoft fait enfin quelque chose pour remédier à cette vulnérabilité DNS. La société a récemment publié un aperçu de son nouveau framework « Zero Trust DNS » (ZTDNS) pour sécuriser le trafic DNS Windows. D’après ce que nous avons vu, il s’agit d’une refonte assez complète de la sécurité.
Le concept de base derrière ZTDNS est exactement ce qu’il paraît : ne faites jamais confiance automatiquement à une demande de résolution de domaine tant qu’elle n’est pas complètement validée. Dans ce modèle, les PC Windows configurés pour Zero Trust DNS refuseront catégoriquement de se connecter à un serveur à moins que son nom de domaine ne soit explicitement approuvé et que sa recherche DNS soit cryptée et authentifiée.
« [Zero Trust DNS] rend inutile l’utilisation d’adresses IP codées en dur ou de serveurs DNS chiffrés non approuvés sans avoir à introduire une terminaison TLS et à passer à côté des avantages en matière de sécurité du chiffrement de bout en bout », explique Microsoft.
Zero Trust DNS utilise deux technologies Windows existantes : le client DNS pour gérer les recherches et la plate-forme de filtrage Windows pour appliquer les politiques réseau. Lorsqu’il est activé, ZTDNS bloque par défaut tout le trafic sortant IPv4 et IPv6, à l’exception des serveurs DNS approuvés et du strict minimum nécessaire à la découverte du réseau. Ainsi, toute réponse DNS contenant une adresse IP déverrouille une exception pour cette destination, permettant à l’application ou au service correspondant de se connecter. En revanche, les tentatives d’accès à une adresse IP non approuvée sont instantanément bloquées.
Microsoft espère que l’adoption généralisée du Zero Trust DNS contribuera à bloquer le trafic potentiellement malveillant utilisant des noms de domaine non vérifiés. Ce cadre pourrait éliminer des catégories entières d’attaques basées sur le DNS et de fuites de données pour les entreprises et les environnements à haut risque.
Bien entendu, la fonctionnalité en est encore à ses débuts, sans calendrier ferme pour une version stable. Cependant, Microsoft s’est engagé à le proposer prochainement aux Windows Insiders pour des tests plus larges.
Microsoft subit une refonte de sa protection après que le Cyber Safety Test Board des États-Unis ait critiqué les pratiques de sécurité antérieures comme étant « inadéquates ». Les inquiétudes du Conseil sont apparues après des incidents majeurs comme le piratage d’Exchange Online. L’examen a incité le PDG Satya Nadella à agir. Plus tôt cette semaine, il a envoyé une note à l’échelle de l’entreprise demandant aux employés de donner la priorité à la sécurité avant tout le reste.
L’orientation renouvelée de Microsoft explique le dévoilement du framework ZTDNS, potentiellement l’un des premiers changements correspondant au remaniement.
Détente, découvrez l’évolution du nombre de smartphones vendus par marque au fil du temps dans la vidéo ci-dessous :
