Internet Corporation for Assigned Names and Numbers

DNSSEC – Qu’est-ce ? Pourquoi est-ce important ?

Pour contacter une personne sur Internet, vous devez entrer une adresse sur votre ordinateur : un nom ou un numéro. Cette adresse doit être unique pour permettre aux ordinateurs de s’identifier entre eux. L’ICANN coordonne ces identifiants uniques à l’échelle internationale. Sans cette coordination, nous n’aurions pas le réseau Internet mondial unique que nous connaissons. Lorsqu’un nom est saisi, le système doit d’abord le traduire en chiffres pour ensuite établir la connexion. Ce système est le système des noms de domaine, ou DNS : il traduit les noms comme www.icann.org en chiffres appelés « adresse de protocole Internet (IP) ». L’ICANN coordonne ce système d’adressage afin que chaque adresse soit unique.

Des vulnérabilités ont récemment été découvertes dans le système DNS : elles permettent à un pirate d’intercepter le processus de recherche d’une personne ou d’un site dans l’Internet et d’utiliser leur nom. L’objectif de l’attaque est de prendre le contrôle de la session et, par exemple, d’envoyer l’internaute vers le site Web frauduleux du pirate afin de récupérer le compte et le mot de passe.

Ces vulnérabilités ont renouvelé l’intérêt pour l’introduction de la technologie des extensions de sécurité DNSSEC visant à sécuriser cette partie de l’infrastructure de l’Internet.

Les questions et réponses ci-dessous tentent d’expliquer la nature des extensions de sécurité DNSSEC, et leur importance.

1) D’abord, qu'est-ce que la zone racine ?

Le système DNS traduit les noms de domaine que les personnes peuvent facilement retenir en chiffres que les ordinateurs utilisent pour chercher la destination, un peu comme un annuaire téléphonique sert à trouver un numéro de téléphone. Cela se fait par étapes. Le premier endroit où le système DNS « regarde » est le premier niveau du service d’annuaire, ou « zone racine ». En prenant par exemple www.google.com, votre ordinateur « demande » à l’annuaire de la zone racine (ou premier niveau) où trouver les renseignements relatifs à « .com ». Une fois la réponse obtenue, il demande au service d’annuaire « .com », identifié par la racine, où trouver les renseignements sur .google.com (le second niveau). Enfin, il demande au service d'annuaire google.com, identifié par « .com », l’adresse de www.google.com (le troisième niveau). À la fin de ce processus presque instantané, votre ordinateur reçoit l’adresse complète. Chaque service d’annuaire est géré par une entité différente i : google.com par Google, « .com » par VeriSign Corporation (et les autres domaines de premier niveau par d’autres organismes), et la zone racine par l’ICANN. 1

2) Pourquoi « signer la racine » ?

Des vulnérabilités récemment découvertes dans le système DNS combinées aux avancées technologiques ont fortement réduit le temps nécessaire à un pirate pour détourner à son profit une étape du processus de consultation DNS, prendre le contrôle d’une session et, par exemple, envoyer les internautes vers le site Web frauduleux du pirate afin de récupérer les comptes et les mots de passe. À long terme, la seule solution pour combler cette faille est de déployer de bout en bout le protocole de sécurité dénommé extensions de sécurité des noms de domaine ou DNSSEC.

3) Qu’est-ce que le DNSSEC ?

La technologie DNSSEC a été développée, entre autres choses, afin de se protéger de telles attaques. Elle permet d’apposer une « signature » numérique aux données et garantit ainsi à l’utilisateur la validité de ces données. Afin d’éliminer cette vulnérabilité de l’Internet, il faut déployer DNSSEC à chaque étape de consultation, de la consultation de la zone racine à celle du nom de domaine final, comme www.icann.org. La signature de la racine, c.-à-d. le déploiement de DNSSEC au niveau de la zone racine, est une étape nécessaire du processus global ii. Il est important de noter que cette technologie ne chiffre pas les informations ; elle ne fait qu’attester de la validité de l’adresse du site que vous consultez. 2

4) Qu’est-ce qui empêche les autres parties de la chaîne d’adressage d’utiliser DNSSEC ?

Rien. Mais comme toute chaîne dont la force repose sur une autre partie, si la zone racine n’est pas signée, il en résulte une extrême fragilité. Certaines parties seraient fiables mais d’autres ne le seraient pas.

5) En quoi la sécurité sera-t-elle améliorée pour l’utilisateur moyen ?

Le déploiement complet de DNSSEC assurera que l’utilisateur final se connecte vraiment au site Web ou au service qui correspond au nom de domaine particulier. Tous les problèmes de sécurité de l’Internet ne seront pas résolus pour autant, mais DNSSEC en protègera une partie cruciale, la consultation d’annuaires. Ceci vient s’ajouter à d’autres technologies comme le protocole SSL (https:) qui sécurise la « conversation » et fournit une plate-forme pour d’autres améliorations de sécurité à venir.

6) Dans les faits, que se passe-t-il quand vous signez la racine ?

Lorsque le protocole DNSSEC est utilisé pour « signer la racine », quelques enregistrements par domaine de premier niveau sont ajoutés au fichier de zone racine. Ces ajouts sont une clé et une signature qui atteste de la validité de la clé.

Le protocole DNSSEC fournit un chemin de validation pour les enregistrements. Il ne chiffre pas les informations ni ne change leur gestion ; il est « rétrocompatible » avec le système DNS et les applications actuels. Cela signifie qu’il ne modifie pas les protocoles existants sur lesquels se fonde le système d’adressage Internet actuel. Il incorpore une chaîne de signatures numériques à la hiérarchie DNS, et chaque niveau possède ses propres clés de génération de signatures. Ainsi, pour un nom de domaine comme www.icann.org, chaque organisme de la chaîne doit signer la clé du niveau inférieur. Par exemple, .org signe la clé icann.org et la racine signe la clé .org. Lors de la validation, DNSSEC remonte la chaîne de confiance jusqu’au niveau supérieur de la racine et valide au fur et à mesure les clés « filles » avec les clés « mères ». Puisque chaque clé est validée par celle du niveau immédiatement supérieur, la seule clé nécessaire à la validation du nom de domaine complet est le parent au niveau le plus haut ou clé racine. 3

La mise en œuvre de cette hiérarchie signifie que, même si la racine est signée, le déploiement complet du protocole DNSSEC dans l’ensemble des noms de domaine sera un long processus. En effet, chaque domaine de niveau inférieur doit être signé par son opérateur pour qu’une chaîne de confiance particulière soit complète. La signature de la racine n’est qu’un début, mais d’importance cruciale. Récemment, les opérateurs de TLD ont accentué leurs efforts de déploiement des extensions de sécurité DNSSEC dans leurs zones (.se, .bg, .br, .cz, .pr les mettent en œuvre dès à présent et d’autres, comme .gov, .uk et .ca, vont suivre), et d’autres opérateurs ont prévu de le faire iii.

7) Comment le fichier de zone racine est-il géré ?

La gestion de la racine est partagée entre quatre entités :

i) l’ICANN, une organisation internationale à but non lucratif sous contrat avec le Département du commerce des États-Unis, assume les fonctions de l’« IANA ». IANA est l’acronyme du nom « Internet Assigned Numbers Authority », l’autorité chargée de la gestion de l'adressage sur l’Internet. L’ICANN reçoit et évalue les informations des opérateurs des domaines de premier niveau (TLD) comme « .com » ;

ii) l’administration nationale de l'information et des télécommunications ou NTIA (National Telecommunications and Information Administration), qui est une fonction du Département du commerce des États-Unis, autorise les modifications de la racine ;

iii) VeriSign, une entreprise dont le siège est aux États-Unis et dont le rôle, défini par un accord avec le gouvernement américain, est de mettre à jour la zone racine avec les informations modifiées. Celles-ci sont fournies et authentifiées par l’ICANN et autorisées par le Département du commerce. Le rôle de VeriSign comprend aussi la distribution du fichier de zone racine qui contient les informations de localisation des domaines de premier niveau (TLD) comme « .com » ; et

iv) un groupe international d’opérateurs de serveurs racines qui possèdent et exploitent plus de 200 serveurs dans le monde sur une base non lucrative. Ces serveurs diffusent les informations de racine provenant du fichier de zone racine à l’ensemble de l’Internet. Les opérateurs de serveurs racines, chacun associé à une lettre, sont :

A) VeriSign Global Registry Services,

B) l’institut Information Sciences Institute de l’Université de Californie du sud,

C) Cogent Communications,

D) l’Université du Maryland,

E) le centre de recherche Ames de la NASA,

F) Internet Systems Consortium Inc.,

G) le centre d’information Network Information Center du Département de la défense des États-Unis,

H) le laboratoire de recherche de l’armée américaine Army Research Lab,

I) Autonomica/NORDUnet en Suède,

J) VeriSign Global Registry Services,

K) RIPE NCC aux Pays-Bas,

L) l’ICANN,

M) WIDE Project au Japon.

Source : http://www.root-servers.org

8) Pourquoi est-ce important pour la sécurité des extensions DNSSEC que l’évaluation, la modification et la signature soit le fait d’une seule organisation ?

Dans le cadre des extensions de sécurité DNSSEC, la force de chaque maillon de la chaîne de confiance repose sur la confiance qu’a l’utilisateur dans l’organisation qui évalue la clé et dans les autres informations du système DNS pour ce maillon. Afin d'assurer l’intégrité de ces informations et de conserver cette confiance une fois les données authentifiées iv, les informations doivent immédiatement être préservées des erreurs malveillantes ou accidentelles qui peuvent être introduites dès qu’un échange de données intervient entre les différentes composantes de l’organisation. Qu’un seul système et organisme incorpore directement les informations authentifiées dans la zone signée préserve cette confiance jusqu’à la diffusion. C’est tout simplement plus sécurisé. 4

Les extensions DNSSEC vont renforcer la confiance dans la sécurité du système DNS. Il est donc d’autant plus important que cette confiance, instaurée grâce à la validation et l’authentification des données TLD des autorités de certification par l’ICANN, soit préservée jusque dans un fichier de zone racine signé.

9) Dans le cadre des extensions de sécurité DNSSEC, à quoi correspondent « KSK » et « ZSK » ?

KSK est l’abréviation de « Key Signing Key », une clé utilisée sur long terme, et ZKS de « Zone Signing Key », une clé utilisée à plus court terme. Avec assez de temps et de données, la sécurité des clés de chiffrement peut être compromise. Dans le cas du chiffrement à clé publique ou asymétrique qu’utilisent les extensions de sécurité DNSSEC, cela signifie qu’un pirate détermine, par la force brute ou d’autres méthodes, la moitié privée de la paire de clés publique/privée qui sert à créer les signatures attestant de la validité des enregistrements DNS. Ceci lui permet de mettre en échec les protections érigées par les extensions DNSSEC. Les extensions DNSSEC contrecarrent ces tentatives de compromissions par l’utilisation d’une clé à court terme (ZSK) qui sert à l’exécution des routines de calcul de signatures pour les enregistrements DNS, et une clé à long terme (KSK) pour le calcul d’une signature sur la clé ZSK pour lui permettre d’être validée. La clé ZSK est fréquemment changée ou renouvelée de manière à ce qu’elle soit difficile à « deviner », et la clé KSK, plus longue, est changée à des intervalles de temps plus longs (les meilleures pratiques actuelles préconisent un ordre de grandeur d’une année). Puisque la clé KSK signe la clé ZSK, et que la clé ZSK signe les enregistrements DNS, seule la clé KSK est nécessaire à la validation d’un enregistrement de DNS de la zone. C’est un condensat de la clé KSK sous la forme d’un enregistrement DS (Delegation Signer) qui est envoyé à la zone mère. La zone mère, par exemple la racine, signe l’enregistrement de la zone fille, par exemple .org, avec sa propre clé ZSK, elle-même signée par sa propre clé KSK. 5

Cela signifie que si le protocole DNSSEC est entièrement adopté, la clé KSK de la zone racine ferait partie de la chaîne de validation de chaque nom de domaine validé selon DNSSEC. Il en va de même pour la validation des applications futures.

10) Qui gère les clés ?

Selon les termes de cette proposition, l’ICANN conserverait l’infrastructure des clés mais les informations d’identification servant à générer les clés KSK seraient conservées par des tierces parties. Ceci constitue un élément important de l’acceptation générale de ce processus au niveau mondial. L’ICANN n’a pas proposé de solution spécifique quant aux entités qui devraient conserver ces informations d'identification et pense que ceci, ainsi que les autres problématiques, relèvent d’un processus de consultation publique et de la décision du Département du commerce des États-Unis.


1 Ces entités et les opérations du DNS elles-mêmes reflètent souvent l’architecture générale de l’Internet de par leur distribution géopolitique et organisationnelle.

2 La signature de la racine simplifie aussi le déploiement dans les couches inférieures du DNS, ce qui accélèrera le déploiement global de DNSSEC.

3http://ccnso.icann.org/surveys/dnssec-survey-report-2007.pdf

4 Ainsi que pour prévenir contre les défaillances de service

5 Pour les personnes familiarisées avec les méthodes de chiffrement à clé publique, DNSSEC est une forme de PKI (Public Key Infrastructure)

Stay Connected

  • News Alerts:
  • Newsletter:
  • Compliance Newsletter:
  • Policy Update: