DNS est une de ces technologies discrètes que le monde entier utilise sans même plus y penser. C’est l’abbréviation de Domain Name Service et cela nous permet d’entrer un nom, tel que www.acmecorporation.com (*), pour entrer en contact avec le serveur désiré.DNS fait partie intégrante des protocoles de communication de l’internet. Cela fonctionne tellement bien que c’est devenu transparant. Mais il y a un risque.
Ce que nous ne savons souvent pas est qu’il y a un risque de sécurité. DNS a été développé tout à fait au début de l’ère internet. C’était au temps où tout le monde de la coopération ouverte et sans abus - la vie était simple. Aujourd’hui il y a des malfrats avec des mauvaises intentions voulant utiliser les faiblesses du système.
Le principe est relativement simple : quand vous tapez un nom, tel que www.acmecorporation.com, votre PC demande à son serveur de noms local pour l’adresse IP correspondante. Le serveur de noms demandera alors au serveur de noms “.com”, qui le renverra vers le serveur de noms chez acmecorporation.com. De là il apprendra l’adresse du serveur www.acmecorporation.com qu’il voulait joindre. Si votre collègue à déjà consulté ce serveur avant vous, la correspondance se trouvera déjà dans la mémoire du serveur de noms, dans son cache.
Le danger est que n’importe qui peut faire croire au serveur de noms que n’importe quelle autre adresse d’un serveur malintentionné est l’adresse de www.acmecorporation.com. Cà c’est ce qu’on appelle du “cache poisoning”. La conséquence de cet empoisonnement est double. D’un côté, la personne voulant joindre le site est redirigée vers un mauvais site et peut être poussé à donner des information confidentielles, comme des informations de carte de crédit, mots de passe ou n’importe quoi. D’un autre côté, il y a l’entreprise avec le site original, qui recevra moins de visiteurs et moins de business. Les personnes qui sont tombées dans le panneau perdront confiance dans le bon site.
Avec DNSSEC - DNS SECured -l’on veut défendre l’internet contre le cache poisoning. Le principe est simple : l’on ne peut faire confiance à un serveur de nom que quand la réponse a été validée par une signature. DNSSEC ajoute des signatures aux réponses et ces signatures doivent être contrôlées.
Ce 1er juillet, les serveurs DNS “root” seront upgradés avec ce nouveau système. Ceci implique que, si vous désirez protéger vos services -et les utilisateurs- sur l’internet, tous les serveurs DNS doivent être upgradés et configurés pour supporter DNSSEC. Idéalement, tous les serveurs DNS et tous les serveurs de noms de tous les opérateurs et de toutes les entreprises doivent être sécurisés pour que le système soit sans faille.
Joignez-vous à nous ce 2 avril à notre conférence à ce sujet (voir notre site web).
(*) acmecorporation était le fournisseur atitré de Wil.E Coyote dans les dessins animés de Warner Bros dans le Roadrunner et Coyote.
Téléchargez ici les présentations.
- DNS & Security (PDF, 2.5 MB)
- Cache Poisoning and DNSSEC (PDF, 14 MB)
- .eu: securing the second layer of the DNS hierarchy (PDF, 5.1 MB)
- Visibility & Control for Core Network Services (PDF, 8.2 MB)
Les commentaires favoris