Je souhaiterais vous faire part de certains éléments extrêmement importants concernant la technoglogie de sécurité appelé Extensions de sécurité du système des noms de domaine (DNSSEC) et de certaines mises à jour qui seront mises en œuvre au cours de l'année à venir. Ces points sont tirés de ma récente présentation lors du Sommet africain de l'Internet de 2016 (AIS'16) à Gaborone (Botswana).
Le DNS est un système de questions-réponses et tout individu qui fait appel à des services de recherche sur Internet s'en remet aux réponses du DNS. Toutefois, des réponses du DNS non sécurisées peuvent constituer de fausses réponses susceptibles de rediriger un trafic destiné à des services de confiance vers des sites malicieux. À titre d'exemple, des tentatives visant à accéder à des coordonnées bancaires peuvent conduire à une redirection vers un site qui volera l'identifiant et les mots de passe d'un utilisateur et qui pourrait même installer un programme malveillant sur l'ordinateur de la victime.
Les internautes peuvent se protéger contre de telles attaques en déployant des DNSSEC qui comprennent deux fonctions principales : la signature et la validation. Dans cet article, je me concentrerai sur la validation qui correspond à une mesure de renforcement de la sécurité du protocole DNS qui procède à la vérification des réponses reçues à des fins d'authenticité et d'exhaustivité.
Étant donné que la plupart des internautes font confiance à leurs fournisseurs de service réseau et reposent sur ces derniers, l'activation de la validation des DNSSEC se produit généralement sur les infrastructures de ces fournisseurs. Les fournisseurs d'Internet ou de service de connectivité devraient activer la validation des DNSSEC sur les résolveurs DNS qu'ils exploitent. La validation des DNSSEC réduit le risque d'attaques qui ont recours au DNS afin de rediriger les clients d'un fournisseur de service vers des sites piratés. Bien que ces attaques soient relativement rares, elles pourraient se généraliser dans la mesure où les vulnérabilités désormais exploitées pourraient permettre de réaliser plus facilement certains types d'attaques.
Au-delà de la protection des infrastructures du fournisseur de service réseau, l'activation de la validation des DNSSEC fournit un mécanisme via lequel il serait possible de faire pleinement confiance aux données stockées dans le DNS. Cette capacité crée une nouvelle infrastructure sur laquelle des services davantage sécurisés peuvent être assurés.
La configuration des serveurs DNS afin d'effectuer la validation est relativement simple et le fonctionnement des résolveurs de validation est le même que celui des résolveurs non validant. Une maintenance continue est requise ; les opérateurs des résolveurs de validation doivent veiller à ce que la configuration de l'ancre de confiance pour la zone racine du DNS est à jour. Ce processus peut également être automatisé.
L'ancre de confiance correspond à la clé cryptographique publique qui fait partie de la clé de signature de clé (KSK) de la zone racine. Cette clé sera modifiée en 2017. Afin de s'assurer que la communauté prend connaissance de ces modifications, nous avons créé une page de ressource « Roulement de la KSK de la zone racine » comprenant des informations relatives aux modifications, à la façon dont les membres de la communauté peuvent participer ainsi que des liens vers d'autres ressources.
Nous sommes confortés dans notre position par le nombre croissant d'organisations adoptant la validation des DNSSEC. Il s'agit d'un investissement minime qui permet de créer une infrastructure du DNS bien plus sécurisée et dotée de plus grandes capacités.