Science.gouv.fr

http://www.bulletins-electroniques.com/actualites/64474.htm

A l’heure actuelle, le service DNS (Domain Name System) [1], qui sert à établir une correspondance entre une adresse IP et un nom de domaine (lorsque l’on demande "google.com" on est par exemple redirigé vers l’adresse 74.125.159.104), est une pierre angulaire qui permet de rendre Internet convivial et exploitable par tout un chacun. Son infrastructure est distribuée pour répartir la charge de travail et ses serveurs sont organisés hiérarchiquement sous forme d’arbre.

De la communication entre les serveurs dépend la fiabilité du système

Il y a en tout 21 domaines de premiers niveau globaux (« domaines génériques », ex : .org .net, etc.), 250 domaines de premier niveau par code pays (« domaines géographiques », ex : .fr, .us, etc.) et des millions de serveurs DNS secondaires. Ces millions de serveurs de noms fournissent des informations d’une petite partie de l’espace des noms de domaine. Le bon fonctionnement du système global dépend donc de la capacité des entités/serveurs à collaborer, et ce de manière fiable.

Les fraudes visent à falsifier la réponse du serveur DNS

De nombreuses fraudes sur Internet reposent sur l’exploitation de failles de sécurité du service DNS. Dans la plupart des cas, l’objectif des malfaiteurs est de falsifier la réponse du serveur DNS. Par exemple si un internaute demande au service DNS l’adresse de son site bancaire, la réponse DNS sera modifiée pour rediriger l’internaute sur une version frauduleuse du site sur laquelle celui-ci délivrera en toute confiance ses coordonnées bancaires.

DNSSEC, mis au point par l’Internet Engineering Task Force (IETF), permet de combler certaines failles de sécurité du protocole DNS. En effet, la conception de celui-ci remonte à 1983, une époque où le réseau Internet était réservé aux initiés et pendant laquelle la cybercriminalité était quasiment inexistante. Ces faiblesses n’ont été mises en évidence que plusieurs années après. Depuis lors, l’IETF travaille à la sécurisation du protocole DNS en publiant plusieurs spécifications successives qui ont abouti en 2005 à la publication des spécifications finales du protocole DNSSEC tel qu’il est implémenté aujourd’hui (RFC 4033).

Signer la réponse du serveur à l’aide d’une clé de cryptographie

Le protocole DNSSEC permet de garantir au client (internaute) l’authenticité de la réponse du serveur DNS. Pour cela, DNSSEC signe à l’aide d’un mécanisme de cryptographie à clé publique les enregistrements DNS. Le client pouvant aisément détecter une éventuelle modification de la réponse du serveur DNS, cette fonctionnalité permet d’empêcher les attaques du type "dévoiement" ("pharming") qui consiste le plus souvent à un "empoisonnement" de la mémoire cache du serveur DNS (DNS cache poisoning), et du type "hameçonnage" ("phishing") qui consiste cette fois à modifier la mémoire cache du client (fichier host).

Signature DNSSEC des serveurs DNS racines : une étape importante

Après des années de conception, de tests et de préparation, l’Internet Assigned Numbers Authority (IANA), entité de l’ICANN, a annoncé le 15 juillet 2010 dernier avoir finalisé l’implémentation du protocole DNSSEC au sein des serveurs DNS de plus haut niveau, dits "racines". Cette implémentation au plus haut niveau va enfin permettre d’établir une "chaîne de confiance" complète, dans les cas où les serveurs DNS de niveaux inférieurs supportent aussi le protocole DNSSEC.

Si cette implémentation représente une étape importante, il reste encore beaucoup de travail pour obtenir une chaîne DNSSEC de bout en bout, i.e. du serveur DNS racine au client. A l’heure actuelle, seulement quelques serveurs de premier niveau implémentent ce protocole, par exemple les noms de domaine génériques .uk et .org et tout récemment .info [1]. Mais ce n’est pas le cas de la très grande majorité des serveurs DNS de second niveau. Par ailleurs, de nombreux équipements déployés des années auparavant au sein d’entreprises ou d’organisations ne sont tout simplement pas compatibles avec ce protocole.

Afin d’accélérer la sécurisation du DNS, le National Institute of Standards and Technology (NIST) a récemment mis à jour son guide "secure Domain Name System Deployment Guide" [2] qui préconise entres autres d’installer un serveur de nom compatible DNSSEC et d’en activer la fonction.

Source :
- [1] "A new domain signs on with DNSSEC" - Government Computer News - 9/09/2010 : http://redirectix.bulletins-electroniques.com/rtJXa
- [2] Document du NIST "Secure Domain Name System (DNS) Deployment Guide" - MAJ en avril 2010 http://redirectix.bulletins-electroniques.com/ad3rL
- Communiqué de la maison blanche : http://redirectix.bulletins-electroniques.com/PsSii
- Communiqué de l’Internet Systems Consortium : http://redirectix.bulletins-electroniques.com/aFf5k
- http://redirectix.bulletins-electroniques.com/1jY1W

Rédacteur :
Frédéric Lohier, deputy-stic.mst@ambafrance-us.org

Origine :
Agence pour la diffusion de l’information technologique (ADIT) - BE Etats-Unis numéro 219 (20/09/2010) - Ambassade de France aux Etats-Unis / ADIT - http://www.bulletins-electroniques.com/actualites/64474.htm