Simon Fernandez

Résumé :
Le Domain Name system est une pierre angulaire de l’Internet moderne, fournissant des informations techniques sur des millions de domaines en répondant à des milliards de requêtes chaque jour. Il est souvent réduit à sa fonction de table associant une adresse IP à chaque nom de domaine, mais le DNS a de nombreux autres rôles et un grand nombre de systèmes se basent sur son architecture et sa stabilité. Le DNS est un système hiérarchique distribué, associant des informations techniques à des noms de domaines, comme leur adresse IP sur le réseau permettant de les contacter, ou le nom du serveur en charge de la gestion de leurs mails. Cependant, le DNS a été créé au début des années 80, quand Internet n’était qu’un petit ensemble d’universités et agences gouvernementales interconnectées. Des centaines d’additions et extensions ont été ajoutées au protocole pour l’adapter aux besoins grandissants et changeants de l’Internet. Grâce à sa facilité d’utilisation, son adoption massive et son architecture résiliente, de nombreux systèmes s’appuient sur les noms de domaines et le DNS, comme les protocoles d’envoi et de réception de mails, les
équilibreurs de charge, des systèmes de détection d’intrusion ou de découverte de services. Des systèmes mal intentionnés utilisent aussi l’architecture DNS pour augmenter leur efficacité ou cacher leur identité, comme l’envoi de pourriels, des attaques de déni de service, de la distribution de virus ou le contrôle de botnets. La majorité des connexions entre deux terminaux sur Internet commence par des requêtes DNS. Observer ces requêtes permet donc d’observer en direct de nombreux événements, comme des campagnes d’envoi de pourriels, le déploiement de mises à jour, des problèmes de configuration, la montée de l’Internet des Objets ou des cyber-conflits entre des états. Cependant, étudier le DNS est une tâche complèxe, étant donné l’important volume de trafic qu’il représente, et son architecture distribuée. Toutefois, même en se limitant à des échantillons du trafic réel, ce trafic permet de mieux comprendre comment l’Internet est organisé, et comment différents acteurs l’utilisent. Dans ce travail de thèse, nous avons étudié le DNS dans son rôle d’établissement de liens de confiance entre terminaux et en tant que source d’information permettant de mieux comprendre la diversité et l’usage actuel d’Internet. Nous avons tout d’abord étudié le processus d’enregistrement de noms de domaines, en remettant en question une hypothèse, faites par plusieurs articles scientifiques et travaux techniques, que les multiples sources d’information sur les noms de domaines étaient toujours cohérentes entre elles.
Nous avons apporté des preuves confirmant cette cohérence dans la majorité des cas, rassurant ainsi les travaux collectant ces données pour un grand nombre de domaines. Nous avons cependant souligné que certains types d’entrées étaient plus souvent erronés, et que les travaux se basant sur leur contenu doivent avoir une vigilance particulière vis à vis de leur cohérence. Nous avons créé un schéma de nommage pour des terminaux à capacités limitées, permettant d’encoder efficacement les propriétés et localisation du terminal. Ce système utilise l’infrastructure DNS et exploite le format des noms de domaines pour permettre des requêtes rapides et efficaces, n’impliquant pas de charge supplémentaire pour les terminaux découverts. Enfin, nous avons étudié les entrées DNS de configurations de sécurité et le trafic DNS des domaines envoyant des pourriels.
Nous avons construit un outil de détection utilisant des différences de configuration entre domaines bénins et domaines malveillants pour détecter les domaines malveillants avant qu’ils n’envoient le moindre mail, permettant de prendre des mesures défensives rapides et d’empêcher certaines attaques.