La NSA met en garde contre l’utilisation du DoH dans les réseaux d’entreprise

La National Security Agency des États-Unis a publié aujourd'hui un guide sur les avantages et les risques des protocoles DNS cryptés, tels que DNS-over-HTTPS (DoH), qui sont devenus largement utilisés au cours des deux dernières années.

L'agence américaine de cybersécurité prévient que si des technologies telles que DoH peuvent crypter et masquer les requêtes DNS des utilisateurs aux observateurs du réseau, elles présentent également des inconvénients lorsqu'elles sont utilisées au sein des réseaux d'entreprise.

Aussi: Meilleurs VPN • Meilleures clés de sécurité

"Le DoH n'est pas une panacée", a déclaré la NSA dans un avis de sécurité.PDF] publié aujourd'hui, affirmant que l'utilisation du protocole donne aux entreprises un faux sentiment de sécurité, faisant écho à de nombreux arguments présentés dans un 

Fonctionnalité ZDNet sur DoH en octobre 2019.

La NSA a déclaré que le DoH n'empêche pas complètement les acteurs malveillants de voir le trafic d'un utilisateur et que lorsqu'il est déployé à l'intérieur réseaux, il peut être utilisé pour contourner de nombreux outils de sécurité qui reposent sur le reniflage du trafic DNS classique (texte en clair) pour détecter des menaces.

En outre, la NSA affirme que de nombreux serveurs de résolution DNS compatibles DoH sont également hébergés en externe, hors du contrôle et de la capacité d'audit de l'entreprise.

NSA: utilisez vos propres résolveurs DoH, et non ceux de tiers

La NSA exhorte les entreprises à éviter d'utiliser des technologies DNS cryptées au sein de leurs propres réseaux, ou au moins à utiliser un serveur de résolution DNS compatible DoH, hébergé en interne et sous leur contrôle.

De plus, la NSA affirme que ce même conseil devrait également être appliqué aux serveurs DNS classiques, et pas seulement à ceux cryptés/DoH.

"La NSA recommande que le trafic DNS d'un réseau d'entreprise, crypté ou non, soit envoyé uniquement au résolveur DNS d'entreprise désigné", a indiqué l'agence.

"Cela garantit une utilisation appropriée des contrôles de sécurité essentiels de l'entreprise, facilite l'accès aux ressources du réseau local et protège les informations du réseau interne.

"Tous les autres résolveurs DNS doivent être désactivés et bloqués", a déclaré l'agence de sécurité.

La CISA a émis un avertissement similaire l'année dernière

Mais la NSA n’est pas la seule à appeler à la prudence concernant les DNS cryptés, comme le DoH, mais aussi son homologue, le DoT (DNS-over-TLS).

En avril de l'année dernière, la Cybersecurity and Infrastructure Security Agency a également publié une directive demandant à toutes les agences fédérales américaines de désactiver DoH et DoT dans leurs réseaux en raison de risques de sécurité.

La CISA a demandé aux agences d'attendre que ses ingénieurs soient en mesure de fournir un DoH/DoT officiel hébergé par le gouvernement. résolveur, qui atténuerait toute menace d’envoi du trafic DoH/DoT du gouvernement vers des fournisseurs DNS tiers.

L'avis de la NSA intervient également après Des cyberespions iraniens ont été vus utilisant le DoH pour exfiltrer les données des réseaux piratés sans être détecté.

Plus loin, outils gratuits publiés sur GitHub ont également rendu trivial le détournement des connexions cryptées du DoH pour masquer les données volées et contourner les logiciels défensifs classiques basés sur le DNS.