Surveillance DNS

Le DNS est la base – et la chose la plus facile à casser

Le DNS est à la base de tout : chaque requête web, chaque email, chaque appel d'API commence par une requête DNS. C’est ce qui rend les modifications discrètes des enregistrements DNS parmi les attaques les plus fréquemment exploitées – et l’une des erreurs les plus faciles à commettre pour un membre négligent de l’équipe. Une modification du DNS peut rediriger votre domaine vers une copie de phishing de votre site, router vos emails via le serveur d’un attaquant, vous faire disparaître des résultats de recherche ou casser toute la stack à cause d’une faute de frappe. La plupart du temps, les dommages liés au DNS ne sont même pas malveillants ; c’est une opération de routine effectuée sans prévenir personne, qui casse tout ce qu’il y a en aval.

La surveillance DNS détecte ces changements en prenant un instantané de vos enregistrements à chaque vérification et en les comparant à l'état précédent. Si un élément surveillé a été ajouté ou supprimé depuis la dernière fois, vous recevez une alerte. Que ce soit une modification planifiée que vous avez oublié de signaler, une erreur de configuration ou un véritable détournement – vous le saurez en quelques heures.

Quels enregistrements sont surveillés ?

Pour chaque moniteur HTTP, une vérification approfondie quotidienne récupère ces types d'enregistrements :

• A et AAAA : adresses IPv4 et IPv6 vers lesquelles le nom d’hôte est résolu. Un changement – le trafic va ailleurs, intentionnellement ou à cause d’un contrôle du registraire par un tiers.
• MX : serveurs de messagerie. Un nouvel enregistrement MX (ou pire, un manquant) veut dire que les emails sont routés différemment. Une perte silencieuse d’emails est l’une des pires situations pour une entreprise.
• NS : serveurs de noms. Un changement – quelqu’un a déplacé votre zone DNS chez un autre fournisseur – c’est la modification la plus puissante que l’on puisse faire sur un domaine. Les changements de NS sont presque toujours soit une migration planifiée, soit une attaque réussie sur le registraire.
• TXT : tout enregistrement texte, souvent utilisé pour la vérification de domaine (Google, Microsoft, Stripe, etc.) et pour SPF/DKIM/DMARC.
• SPF, DMARC, CAA : enregistrements dédiés à la sécurité des emails et à la délivrance de certificats. Une modification CAA, en particulier, peut permettre à un attaquant d'obtenir un certificat TLS pour votre domaine.

Le tableau de bord affiche tous les enregistrements actuels dans la vue détaillée du moniteur, ce qui vous permet de voir d’un coup d’œil ce qui est actuellement publié.

Détection des changements

Le moniteur garde un instantané des enregistrements A, AAAA, MX et NS pour chaque moniteur. À chaque vérification approfondie, les enregistrements actuels sont comparés à l’instantané. Les enregistrements disparus sont marqués comme « supprimés », les nouveaux comme « ajoutés ». Les deux listes sont incluses dans le rapport de modifications.

Si un groupe surveillé d’enregistrements a été modifié, une alerte part sur les canaux actifs. La notification indique quel type d’enregistrement a changé et détaille précisément ce qui a été ajouté et supprimé. Au lieu de « DNS modifié pour example.com », vous recevez « MX pour example.com : mail.oldhost.com supprimé, mail-1.attacker.com ajouté » – rendant la situation immédiatement compréhensible.

Vous pouvez désactiver indépendamment les alertes de changement DNS des autres alertes, au cas où une migration planifiée génère beaucoup de bruit. Désactivez, faites la migration, puis réactivez après stabilisation.

Pourquoi cela détecte ce que d’autres outils ratent

La plupart des outils de surveillance de disponibilité traitent le DNS comme une installation – ils l’utilisent pour résoudre une URL puis l’oublient. Mais dès qu’un concurrent (ou un attaquant, ou un déploiement du vendredi hasardeux) change votre DNS, la résolution pointe vers une autre IP, et le moniteur HTTP seul continue de signaler du vert, car la nouvelle IP retourne aussi un code 200. Sans surveillance au niveau du DNS, le changement passe inaperçu jusqu’à ce qu’une vérification manuelle soit effectuée. À ce moment, des journées de mails peuvent avoir disparu ou des semaines de référencement peuvent être perdues.

La surveillance DNS détecte également les problèmes chez le fournisseur DNS lui-même. Certains fournisseurs perdent ou réarrangent occasionnellement des enregistrements lors des mises à jour de zone ; d'autres connaissent des pannes régionales où des requêtes provenant d’une localisation renvoient des résultats différents qu’ailleurs. La comparaison des instantanés permet de révéler ces instabilités.

Configuration

La surveillance DNS est automatique pour chaque moniteur HTTP/mot-clé/API. La première vérification approfondie (dans les 24h suivant l’ajout d’un moniteur) enregistre un instantané de base – aucune alerte n’est envoyée la première fois, mais seulement lorsque les vérifications suivantes diffèrent. Pour activer ou désactiver les alertes de changement DNS, activez « Alerter en cas de changements DNS » dans la section Préférences des Notifications. La vue détaillée de tout moniteur affiche toujours l'état DNS complet actuel, y compris SPF, DMARC et CAA, qui ne sont pas surveillés pour les changements, mais sont utiles pour un contrôle périodique.

Foire aux questions

• Quels enregistrements DNS sont surveillés par le moniteur ?

  Par défaut A, AAAA, MX, NS, TXT et CNAME. Le moniteur capture un instantané des valeurs résolues à chaque vérification et émet une alerte si l’une d’elles change — ajoutée, supprimée ou modifiée.

• Pourquoi surveiller le DNS – mon fournisseur DNS n’est-il pas fiable ?

  La fiabilité n’est pas le problème — le changement si. Détournements DNS, mises à jour accidentelles lors des migrations, CDN externes changeant d’IP et comptes registraires compromis — tout cela se manifeste par un changement d’enregistrements. La surveillance DNS détecte cela en quelques minutes au lieu de jours.

• Comment le moniteur gère-t-il la mise en cache TTL ?

  Les résolutions se font contre les serveurs de noms autoritaires (pas votre résolveur local), donc la mise en cache TTL ne masque pas les changements. Chaque vérification fait une requête fraîche et autoritaire — si l’enregistrement à la source a changé, le moniteur le voit lors de la vérification suivante.

• Puis-je surveiller la validation DNSSEC ?

  Oui. Le moniteur enregistre le statut DNSSEC (signed / unsigned) à chaque vérification et alerte en cas de changement. Un domaine signé DNSSEC hier qui rapporte aujourd’hui l’absence de signature est un incident de sécurité à examiner immédiatement.

• Vais-je recevoir de faux positifs à cause du load balancing DNS ?

  Si votre enregistrement A retourne plusieurs adresses IP tournantes, le moniteur voit un « changement » à chaque vérification. Pour éviter cela, configurez les valeurs attendues pour inclure toutes les IP possibles, ou désactivez la surveillance de l’enregistrement A sur ce domaine et comptez uniquement sur la vérification HTTP pour la disponibilité.