Contexte et problématique
La gestion des enregistrements DNS dans les grandes organisations présente des défis majeurs en termes de cohérence et de suivi dans le temps, ce qui peut avoir des impacts opérationnels importants, particulièrement sur la cybersécurité. Les organisations gérant des réseaux à grande échelle, comme les entreprises internationales ou les fournisseurs de services Internet, utilisent souvent la fonctionnalité CNAME du DNS pour gérer la complexité et l’évolution constante de leurs infrastructures réseau. Cette évolution constante nécessite des ajustements continus des enregistrements DNS par les équipes NetOps et SecOps, à la fois pour assurer le bon fonctionnement des services et pour prévenir les problèmes de cybersécurité.
Les enregistrements DNS obsolètes peuvent poser des risques de cybersécurité significatifs. Pour exemple, les chaînes d’enregistrements DNS qui incluent un enregistrement faisant partie de la zone DNS d’une agence Web en faillite peuvent conduire à un « piratage de domaine », car des pirates pourraient acheter le nom de domaine de l’agence et recevoir les requêtes destinées au domaine original. Cela entraîne typiquement des fuites d’identifiants, le navigateur Web de l’utilisateur continuant d’envoyer des cookies au serveur des pirates.
Imaginez : toutes vos zones DNS dans une jolie base de données orientée graphe, interrogeable et livrée avec des requêtes pré-écrites pour facilement trouver les entrées à risque, et ainsi améliorer votre cyber-rating.
Un graphe de connaissance pour aider à protéger les DNS
Les chercheurs d’Orange proposent une approche qui consiste à construire un graphe de connaissances RDF à partir des données de configuration DNS d’une organisation, ce afin de faciliter l’analyse inter-zones des enregistrements DNS. Le graphe, appelé « DNS-KG », est structuré par DSecO, une ontologie légère implémentée en RDFS/OWL pour permettre une approche d’audit basée sur les requêtes des données DNS, et faciliter les connexions aux bases de connaissances tierces pour des cas d’inférence plus larges. DSecO est disponible en open source à https://w3id.org/dseco/
Neuf cas d’usage d’administration DNS ont été étudiés sur la base d’entretiens avec des experts en opérations DNS d’Orange. Ils ont été implémentés sous la forme de requêtes SPARQL pour évaluer l’approche d’audit sur des données générées et réelles. La méthodologie de développement utilisée est dirigée par le comportement (en anglais behaviour-driven development ou BDD) pour décrire ces cas d’usage en langage naturel, les rendant adaptés au traitement automatisé des données.
Impact opérationnel
L’évaluation sur un jeu de données d’exemple a confirmé le fonctionnement efficace de l’approche DNS-KG proposée. L’évaluation sur un jeu de données réelles d’Orange a mis en évidence la pertinence de l’approche DNS-KG dans un environnement industriel, permettant aux équipes SecOps d’identifier et de corriger en toute confiance de nombreuses configurations DNS non conformes. Plus de 547 non-conformités ont été signalées et transmises à une équipe SecOps via un système de tickets pour analyse et remédiation supplémentaires. Fort de ces succès, l’approche DNS-KG est aujourd’hui utilisée quotidiennement pour aider à la sécurisation des infrastructures et services d’Orange.
Avant la mise en œuvre de la proposition DNS-KG, l’évaluation de la configuration DNS (c’est-à-dire les tâches d’audit et de nettoyage/correction) était difficilement menées avec une telle profondeur par l’équipe SecOps impliquée. L’approche globale DNS-KG améliore l’efficience opérationnelle en instillant la confiance dans les actions correctives à effectuer sur un grand nombre d’enregistrements. Au-delà de cette plus grande efficience, l’apprentissage et l’adoption de la solution DNS-KG au sein de l’équipe SecOps ont également été évalués positivement.
Une solution en open source aux multiples avantages
Cette approche révolutionne la gestion DNS en transformant une tâche manuelle complexe en un processus automatisé, fiable et explicable, améliorant significativement la sécurité des infrastructures réseau. L’utilisation d’ontologies et de graphes de connaissances permet de remplacer des audits manuels rares par une analyse systématique. Les règles d’audit sont compréhensibles et partageables entre équipes. Par ailleurs, la méthode est extensible : il est facile d’ajouter de nouveaux cas d’usage (i.e. écrire de nouvelles requêtes SPARQL) et le graphe de connaissance est interopérable avec d’autres bases de connaissances du fait de l’utilisation des technologies du Web Sémantique.
Imaginez : toutes vos zones DNS dans une jolie base de données orientée graphe, interrogeable et livrée avec des requêtes pré-écrites pour facilement trouver les entrées à risque, et ainsi améliorer votre cyber-rating. Nous avons la solution : DSecO et l’approche DNS-KG. N’hésitez pas à utiliser et contribuer au projet, c’est en open source : https://w3id.org/dseco/
Glossaire :
- DNS : Domain Name System est un service critique pour le fonctionnement des réseaux et du Web. Il associe les noms de domaine Internet avec leurs adresses IP.
- RDF : Resource Description Framework est un modèle de graphe destiné à décrire les ressources Web et leurs métadonnées.
- SPARQL : un langage de requête et un protocole pour rechercher, ajouter, modifier ou supprimer des données RDF.
- Ontologie : l’ensemble des concepts, et relations entre ces concepts, permettant de décrire un domaine de discours.
- DSecO : DNS Security Ontology, une ontologie en open-source développée par Orange disponible dans https://w3id.org/dseco/
- Cyber-rating : une « cyber-note » attribuée aux entreprises par des agences dans l’objectif de quantifier le risque cyber auquel elles sont exposées.
En savoir plus :
D. Bringer and L. Tailhardat, « DSecO: Domain Name System (DNS) Data as a Knowledge Graph for Enhanced Security Analysis, » in IEEE Transactions on Networking, vol. 34, pp. 370-383, 2026, doi: 10.1109/TON.2025.3598374
Didier Bringer
Lionel Tailhardat
