DNS (.be) et Eurid (.eu) entendent cette année encore introduire la méthode de sécurisation DNSSEC pour leurs noms de domaine. Ensuite, les internautes pourront en principe être assurés d’accéder toujours sur le site voulu.
Un internet (plus) sûr, tel est l’un des principaux thèmes de la conférence Icann organisée cette semaine à Mexico City. Et le fait que l’instance qui gère le système des noms de domaine au niveau mondial, veuille introduire des centaines de nouveaux suffixes dans les années à venir, n’y est certainement pas étranger. Les nombreux ateliers axés sur l’e-délit et l’abus du DNS sont suivis avec attention par des centaines de participants.
L’un des thèmes ‘chauds’ dans ce cadre est le lancement du protocole de sécurisation DNSSEC (DNS Security Extensions) pour les domaines de ‘top level’ (TLD). Depuis que l’expert en sécurité Dan Kaminsky avait rendu public une sérieuse fuite de DNS, début juillet dernier, il se dit que seule l’introduction de cette nouvelle méthode de sécurisation offre une solution plus ou moins hermétique pour la protection de l’intégrité du système de noms de domaine. Les correctifs qui avaient ensuite déployés, réduisent certes déjà le risque de souillure des caches, mais ne l’annulent certainement pas.
Les registres pour des pays comme la Suède, le Brésil, la Bulgarie et la Tchéquie ont entre-temps déjà opté pour une solution structurelle en passant à DNSSEC. Les exploitants des noms de domaine .eu (Eurid) et .be (DNS) entendent eux aussi les convertir cette année encore. « Actuellement, nous passons en revue tout ce qui se passera en introduisant DNSSEC », déclare Marc Van Wesemael, le directeur d’Eurid. « Et c’est déjà pas mal. »
Le lancement du protocole de sécurisation DNSSEC est de toute façon une affaire complexe, non seulement sur le plan technique, mais aussi sur celui de la procédure. Un petit mot d’explication s’impose ici. DNSSEC introduit les ‘public key algoritmes’ dans le système des noms de domaine. Cela signifie que le propriétaire combine une espèce de signature numérique à son nom de domaine. Les esprits mal intentionnés ne peuvent alors plus souiller la cache et orienter les surfeurs non soupçonneux vers des sites factices, parce que l’information demandée est toujours vérifiée. Les internautes aboutissent donc toujours sur le site voulu.
« Tout cela a pour conséquence que le processus d’enregistrement d’un nom de domaine se complique, du fait que tout nom de domaine doit être doté de ce genre de clé numérique », poursuit Van Wesemael. « En outre, cela multiplie le fichier de zone (jusqu’ à 10 fois), dans lequel tous les noms de domaine sont stockés car toutes ces signatures viennent évidemment s’y ajouter. Pour une zone comme l’Allemagne et ses treize millions de noms de domaine, ce n’est vraiment pas évident. »
Il se pourrait aussi que cela entraîne une réduction des performances, se murmure-t-il. « S’il est intéressant d’obtenir une réponse signée, encore faut-il qu’elle soit décryptée, ce qui prend du temps », confirme le directeur général. « L’utilisateur final ne s’en apercevra pas tellement, mais en fin de compte, c’est tout le processus qui sera plus lent. Les ‘registrars’ (les petites entreprises qui enregistrent les noms de domaine), les exploitants de TLD et ISP devront donc utiliser du matériel plus puissant. »
Un autre obstacle est de nature procédurale. Les propriétaires d’un nom de domaine devront transmettre leurs clés de manière sûre car en cas de négligence, les pirates saisiront l’occasion. « Plus longtemps une clé sera utilisée, plus grand sera le risque que des pirates l’interceptent. Voilà pourquoi de nouvelles clés seront régulièrement introduites. Il appartient aux ‘registrars’ de fournir ces signatures à leurs clients. Cela leur fera pas mal de travail supplémentaire, ce qui fera grimper les coûts. Quiconque souhaite un nom de domaine sécurisé devra donc en payer le prix. »
Le registre suédois est le premier à entamer le déploiement de DNSSEC, « mais ce déploiement s’effectue encore manuellement. La clé est introduite à la main, parce qu’il n’y a encore qu’une centaine de propriétaires à avoir opté DNSSEC. Voilà aussi un autre avantage du protocole. Il est possible d’introduire le système à l’échelle nationale, mais tout le monde ne devra pas sauter dans le train. Il y aura en effet des ‘registrars’ qui ne voudront pas collaborer, tout comme il y aura de nombreux clients qui ne jugeront pas nécessaire d’avoir un nom de domaine ‘sécurisé’. »
« Pour .eu et .be, nous souhaiterions opter à cent pour cent pour DNSSEC », conclut Van Wesemael. « Mais pour cela, il faut disposer d’un système automatisé. Aucun pays n’utilise encore ce genre de système. Sur ce plan, nous serons donc parmi les premiers de la classe. »
auteur : Frederik Tibau
source DataNews.be