Accueil / Blog / General / DNS tunneling : l'exfiltration de données qui passe sous tous les radars

DNS tunneling : l'exfiltration de données qui passe sous tous les radars

Il existe des cyberattaques qui font du bruit ransomwares paralysant des hôpitaux, fuites de données massives révélées en une nuit, systèmes entiers mis hors ligne. Et puis il existe des attaques qui ne font aucun bruit. Aucune alerte. Aucune anomalie visible. Des données qui quittent silencieusement l'infrastructure d'une organisation, dissimulées dans un protocole que presque personne ne surveille.

Le DNS tunneling est l'une de ces attaques. Et c'est précisément parce qu'elle est invisible qu'elle est dangereuse.

Le DNS : une infrastructure critique que personne ne surveille vraiment

Le Domain Name System est le protocole qui traduit les noms de domaine en adresses IP que les serveurs peuvent comprendre. C'est l'une des infrastructures les plus fondamentales d'Internet celle qui fonctionne en arrière-plan de chaque connexion, de chaque e-mail, de chaque requête web. Et c'est précisément parce qu'il est omniprésent et considéré comme légitime que le DNS est devenu un vecteur d'attaque privilégié.

La plupart des organisations autorisent le trafic DNS à traverser leurs défenses sans inspection parce qu'il a toujours été ainsi, et parce que bloquer le DNS reviendrait à couper Internet. C'est exactement la faille que les attaquants exploitent.

Qu'est-ce que le DNS tunneling ?

Le DNS tunneling est une technique qui exploite le protocole DNS pour faire passer des données en contrebande à travers les défenses d'un réseau. En encodant des informations dans des requêtes et réponses DNS apparemment légitimes, un attaquant établit un canal de communication secret entre un appareil compromis à l'intérieur du réseau et un serveur qu'il contrôle à l'extérieur. Ce canal peut servir à exfiltrer des données sensibles, à recevoir des instructions de commande et contrôle, ou à maintenir un accès persistant, le tout sans déclencher la moindre alerte.

Contrairement à une résolution DNS classique, qui se limite à la traduction d'un nom de domaine en adresse IP, le DNS tunneling détourne ce mécanisme en utilisant les requêtes et réponses DNS comme vecteur de communication. Des données sont alors encodées dans les noms de domaine ou les réponses DNS afin de traverser les défenses réseau sous l'apparence d'un trafic légitime.

Comment fonctionne l'attaque concrètement

Cette technique ouvre un canal de communication bidirectionnel : les requêtes sortantes transportent des données volées, tandis que les réponses entrantes peuvent transporter des mises à jour de logiciels malveillants ou des instructions C2, le tout sans déclencher les alertes qui surveillent les voies d'exfiltration traditionnelles.

Les données ainsi exfiltrées peuvent inclure :

Des identifiants et mots de passe
Des données financières et bancaires
Des propriétés intellectuelles confidentielles
Des informations personnelles sur des clients ou collaborateurs

Dans certains cas, l'attaque peut durer des semaines voire des mois avant d'être détectée si elle l'est jamais.

Pourquoi c'est si difficile à détecter

La difficulté tient à la nature même du DNS. Contrairement au trafic HTTP ou aux connexions réseau inhabituelles, les requêtes DNS sont rarement inspectées en profondeur. Elles sont nombreuses, rapides, et considérées comme bénignes par défaut.

Les indicateurs d'un tunnel DNS existent, mais ils demandent une surveillance active :

Des requêtes vers des domaines inhabituels ou récemment créés
Un volume anormalement élevé de trafic DNS sur une courte période
Des noms de domaine encodant des données dans leur structure comme DONNEES123.domaine-malveillant.com
Des réponses DNS d'une taille inhabituellement grande

Dans un contexte où les exfiltrations de données ont significativement progressé en France 196 incidents recensés par l'ANSSI en 2025, contre 130 en 2024 ignorer ces signaux n'est plus une option.

Ce que les équipes IT doivent mettre en place

Défendre une organisation contre le DNS tunneling commence par une prise de conscience : le DNS est une surface d'attaque, pas seulement une infrastructure de résolution de noms. Trois mesures concrètes s'imposent :

Surveiller le trafic DNS en temps réel : analyser le volume, la fréquence, la nature des domaines interrogés et la taille des réponses pour détecter les anomalies caractéristiques d'un tunnel.
Mettre en place un filtrage DNS : bloquer les requêtes vers des domaines malveillants connus, limiter les résolveurs DNS autorisés, et restreindre les communications DNS sortantes aux serveurs légitimes.
Corréler les événements de sécurité : une anomalie DNS isolée peut sembler insignifiante. Corrélée avec d'autres signaux un compte actif à une heure inhabituelle, un volume de données sortantes anormal elle révèle une tout autre réalité.

C'est précisément ce que permet EventLog Analyzer de ManageEngine. En analysant en temps réel les journaux DNS et en détectant automatiquement les comportements anormaux volumes inhabituels, domaines suspects, requêtes encodées il transforme des signaux faibles en alertes exploitables, permettant aux équipes IT d'intervenir avant que l'exfiltration ne soit consommée. DDI Central de ManageEngine complète cette approche en offrant une gestion centralisée des services DNS, une visibilité complète sur l'ensemble des résolutions de noms et l'application de politiques de sécurité cohérentes à travers tout le réseau.

Conclusion

Le DNS tunneling tire sa force du fait que la plupart des organisations ne surveillent pas leur trafic DNS. Dans un contexte où les exfiltrations de données progressent chaque année, laisser cette surface d'attaque sans surveillance revient à laisser une porte de service ouverte pendant que l'on renforce la porte d'entrée.

Surveiller le DNS, filtrer les requêtes, corréler les événements trois mesures concrètes et accessibles dès aujourd'hui, qui peuvent faire la différence entre une exfiltration détectée et une exfiltration qui passe sous tous les radars.