Le système des noms de domaine (DNS) est un service essentiel de l’Internet. Le nombre croissant d'attaques exploitant les vulnérabilités du DNS suscite de plus en plus de préoccupations en matière de sécurité. L'ICANN soutient le déploiement des extensions de sécurité du DNS (DNSSEC) depuis de nombreuses années par le biais de différentes initiatives et de programmes de renforcement des capacités. Ces efforts se sont intensifiés au cours des deux dernières années avec la régionalisation des activités de promotion des échanges avec la communauté technique.
Le DNSSEC est l'une des solutions utilisées pour sécuriser la résolution DNS. À l'aide d'une cryptographie à clé publique et d'algorithmes de hachage, les titulaires de noms de domaine, les gestionnaires de systèmes ou les opérateurs DNS signent les enregistrements de ressources DNS dans des fichiers de zone gérés par des serveurs de noms faisant autorité. Les résolveurs récursifs sécurisés, généralement situés dans l'infrastructure des fournisseurs d'accès à Internet (FAI) ou dans les réseaux d'entreprise, vérifient l'authenticité et l'intégrité des réponses DNS qu'ils reçoivent pour les domaines signés. Cette opération est appelée validation DNSSEC. Les résolveurs récursifs sécurisés permettent d'éviter l'introduction de faux enregistrements dans leurs caches (empoisonnement de cache) et de confirmer que les données qu'ils reçoivent pour les domaines signés proviennent de serveurs de noms faisant autorité authentifiés et n'ont pas été modifiées. La signature des domaines et la validation des données DNS sont des opérations complémentaires. Les deux devraient être adoptées comme de bonnes pratiques en matière de DNS. Pour en savoir plus sur DNSSEC, cliquez ici.
Nous aimerions partager avec vous quelques expériences et initiatives récentes que nous avons menées pour promouvoir et soutenir l'adoption de DNSSEC en Afrique et dans la région du Moyen-Orient, en commençant par la publication du Guide de déploiement DNSSEC pour les ccTLD (OCTO-029) dans les six langues officielles de l'ONU. Les personnes avec qui nous sommes en contact dans nos régions parlent un grand éventail de langues ; nous pensons donc que ce guide étape par étape sera utile à un large public.
Nous avons aussi fait particulièrement attention à proposer notre aide aux opérateurs d’extensions géographiques (ccTLD) afin qu'ils utilisent DNSSEC pour sécuriser leurs zones. Ainsi, nous les aidons à évaluer leur état de préparation au DNSSEC et nous leur proposons des formations et une assistance technique pour leur permettre de se familiariser avec les opérations de signature DNSSEC. À l'aide d'un environnement de test, nous mettons également en évidence les problèmes liés à des configurations spécifiques et les aidons à améliorer la documentation de leurs opérations.
Nous sommes très satisfaits de voir que certains ccTLD ont utilisé ces outils et ces processus de développement des capacités pour améliorer leurs compétences et faire avancer leurs projets. Par exemple, nous sommes fiers de voir que de nouveaux ccTLD tels que .ci et .rw ont récemment utilisé DNSSEC pour signer leurs zones. D'autres ccTLD travaillent aussi activement au déploiement de DNSSEC. Nous continuons également à encourager et à proposer notre aide à de nombreuses autres entités qui n'ont pas encore sécurisé leur DNS. Nous sommes impatients de les voir entamer le processus.
En plus de la signature de leurs zones, nous avons également aidé une douzaine d'opérateurs de réseaux (principalement des FAI) et de réseaux mobiles en Afrique et au Moyen-Orient à activer la validation DNSSEC dans leurs résolveurs récursifs. Aujourd'hui, l'activation de la validation DNSSEC est assez simple pour presque tous les résolveurs récursifs. Cependant, il est recommandé de procéder à quelques vérifications avant l'activation : prise en charge d’EDNS(0), TCP 53, synchronisation temporelle, ancre de confiance racine correcte, etc. C'est particulièrement le cas dans un environnement de production.
Notre soutien a principalement consisté à aider les opérateurs à comprendre l'importance de la validation DNSSEC, mais aussi à faire attention aux vérifications préalables. Nous les soutenons dans le processus de vérification et les aidons à activer et à tester ce processus sur chacun de leurs résolveurs récursifs. Au début, il y a eu des réticences à effectuer des changements, de crainte qu'ils ne provoquent des perturbations dans les services offerts aux clients. Mais lorsque les opérateurs ont commencé à travailler avec nous, ils se sont sentis plus à l'aise et plus rassurés pour apporter ces améliorations, dans la mesure où ils avaient une vision plus claire des éléments qui entrent en jeu et des mesures d'atténuation à mettre en place en cas de problème.
L'Afrique et le Moyen-Orient comptent parmi les régions du monde où le taux d'adoption de DNSSEC est le plus faible. Malgré les progrès accomplis, nous avons encore beaucoup à faire. Selon le laboratoire du Centre d'information de réseau d'Asie-Pacifique, le taux de validation DNSSEC en Afrique est passé de moins de 25% à 30 % pendant les deux dernières années, tandis qu'il reste autour de 50 % au Moyen-Orient. Nous continuons à travailler avec nos partenaires pour accroître l'adoption de DNSSEC en Afrique et au Moyen-Orient.
Nous poursuivrons notre travail de formation et d'assistance aux opérateurs de la région pour le déploiement de la signature et de la validation DNSSEC. Notre équipe contribue ainsi à améliorer la sécurité et la résilience de l'Internet. Le nouveau programme KINDNS que l'ICANN a lancé le mois dernier est un outil supplémentaire qui nous permet d'aider les opérateurs à améliorer la sécurité de leurs opérations DNS.
Notre catalogue de cours de formation est disponible en ligne. Si vous avez des questions, des inquiétudes ou si vous avez besoin d'aide concernant le DNS en général et le déploiement de DNSSEC en particulier, n'hésitez pas à nous contacter à l'adresse octo@icann.org. Nous nous ferons un plaisir de vous aider.
