Africa teaching

Lorsque vous voulez visiter un site web, vous tapez son adresse ou nom de domaine sur votre navigateur. Votre ordinateur doit convertir ce que vous saisi (par exemple dezmonde.com) en adresse IP ( par exemple74.124.210.152) afin de constater le serveur sur le quel est hébergé le site et récupérer le contenu du site. Le mécanisme utilisé pour cette conversion est le DNS (Domain Name System ou Système de Noms de Domaine en français).  C’est une sorte d’annuaire mondial composé de plusieurs ordinateurs appelés Serveurs DNS dont le but est de faire correspondre chaque nom de domaine à une adresses IP unique.

Ces dernières années, des pirates ont mis au point des méthodes d’empoisonnement de serveur DNS leur qui leur permettent de détourner du trafic vers leurs serveurs (phishing, etc…) en falsifiant les réponses données par l’annuaire qu’est le DNS.

La menace : le Cache Poisoning

Un pirate a décelé une faille dans le serveur DNS. Il réussi à s’introduire dans le serveur et à modifier l’adresse correspondant à www.dezmonde.com par l’IP d’un serveur lui appartenant : 203.0.113.78 .

Lorsque le visiteur entre l’adresse www.dezmonde.com, son navigateur se dirige vers le serveur DNS pour récupérer l’adresse IP correspondante. Le DNS compromis renvoie l’adresse insérée par le pirate : 203.0.113.78 .

Le navigateur utilise cette adresse IP pour obtenir le contenu du site. Le serveur pirate lui renvoie une page ressemblant à www.dezmonde.com, par exemple pour obtenir ses données personnelles (phishing).

La solution: le DNSSEC

DNSSEC (Domain Name System Security Extensions) permet de sécuriser l’authenticité de la réponse DNS. Lorsque le navigateur envoie une requête, celle-ci revient avec un clef d’authentification, qui atteste que l’IP renvoyée est la bonne.
Si un hacker tente de modifier la table contenue dans le serveur DNS protégé par DNSSEC, ce dernier refuse ses requêtes, l’information envoyée n’étant pas signée.

L’utilisateur est alors assuré d’accéder au bon site lorsqu’il reçoit une IP validée par DNSSEC.

Caractéristiques

DNSSEC permet de sécuriser les données envoyées par le DNS. Contrairement à d’autres protocoles comme SSL, il ne sécurise pas juste un canal de communication mais il protège les données, les enregistrements DNS, de bout en bout. Ainsi, il est efficace même lorsqu’un serveur intermédiaire trahit.

DNSSEC signe cryptographiquement les enregistrements DNS et met cette signature dans le DNS. Ainsi, un client DNS méfiant peut récupérer la signature et, s’il possède la clé du serveur, vérifier que les données sont correctes. La clé peut être récupérée via le DNS lui-même (ce qui pose un problème d’œuf et de poule) ou bien par un autre moyen (diffusée via le Web et signée avec PGP par exemple).

DNSSEC permet de déléguer des signatures : ainsi, le registre d’un domaine de premier niveau peut annoncer que tel sous-domaine est signé. On peut ainsi bâtir une chaîne de confiance depuis la racine du DNS.

DNSSEC introduit aussi ses propres problèmes, par exemple, le fait qu’un enregistrement spécial (NSEC, utilisé pour prouver la non-existence d’un enregistrement) indique le prochain domaine de la zone permettant d’énumérer le contenu complet d’une zone signée, même si le transfert de zone n’est pas permis. Ce problème fait que la plupart des TLD utilisent l’enregistrement NSEC3, qui n’a pas ce défaut.

Plus d’informations

L’ICANN a publié un article sur le DNSSEC que vous puvez consulter à l’adresse suivante : http://www.icann.org/resources/pages/dnssec-qaa-2014-01-29-fr