Eurid, le gestionnaire du domaine européen de top level .eu, va d’ici quelques jours lancer un projet de test de la méthode de protection DNSSEC. L’introduction de ce nouveau protocole sécuritaire est considérée comme une étape importante dans la lutte contre le hameçonnage (‘phishing’).
Un internet (plus) sûr est l’un des thèmes importants de la réunion de l’Icann organisée cette semaine à Séoul. Le fait que l’instance qui gère le système des noms de domaine au niveau mondial, entend introduire dans les années à venir des centaines de nouveaux suffixes, n’y est pas étranger. Les nombreux ateliers consacrés à l’e-crime et à l’abus du DNS sont suivis avec attention par les centaines de personnes présentes sur place.
L’un des sujets chauds est l’arrivée du protocole sécuritaire DNSSEC (DNS Security Extensions) pour les domaines de top level. Depuis que l’expert en sécurité Dan Kaminsky avait l’an dernier fait part d’une sérieuse brèche DNS au niveau mondial, il se fait que seule la nouvelle méthode de protection offre une solution plus ou moins étanche à la défense de l’intégrité du système de noms de domaine. DNSSEC sera même obligatoire pour les nouveaux suffixes internet qui arriveront.
« C’est une bonne chose », estime Marc Van Wesemael, patron d’Eurid, « car ainsi, le protocole pourra être lancé sur le marché. Actuellement, il est encore malaisé de persuader les ‘registrars’ (les petites entreprises commerciales qui enregistrent les noms de domaine) de l’utilité de DNSSEC. Souvent, ils ne sont pas encore prêts à y consacrer du temps et de l’argent supplémentaires. C’est dû en partie à une méconnaissance du sujet. »
DNSSEC introduit les ‘public key algoritmes’ dans le système des noms de domaine. En langage de tous les jours, cela signifie qu’à chaque réponse donnée par le protocole DNS est associée une sorte de signature numérique. Les esprits malfaisants ne pourront plus polluer la cache et orienter les internautes naïfs vers des sites factices, du fait que l’authenticité de l’information demandée sera toujours vérifiée. Les internautes aboutiront donc en principe toujours à l’endroit qu’ils recherchent.
Il en résultera que le processus d’enregistrement d’un nom de domaine sera plus compliqué, parce que chaque nom de domaine devra être pourvu de ce genre de clé numérique. En outre, on assistera à une multiplication (de 6 à 10 fois) du fichier zone, dans lequel tous les noms de domaine sont stockés car toutes ces signatures viendront évidemment s’y ajouter. Pour un pays comme l’Allemagne, qui compte plus de 13 millions de noms de domaine, ce sera tout sauf évident.
« Durant la phase de test, nous voulons aussi vérifier ce qui va se passer au niveau des performances », ajoute encore Van Wesemael. « C’est très bien que l’on reçoive une réponse signée, mais il faut encore la décrypter, ce qui prend du temps. En d’autres mots, le processus sera nettement plus lent, ce qui aura comme conséquence que les ‘registrars’, mais aussi les exploitants des TLD et les ISP devront utiliser du matériel plus puissant. »
« Nous nous attendons à ce que le test donne ses résultats au début de l’an prochain », conclu le directeur général. « Nous pourrons alors fixer une date à laquelle nous allons réellement démarrer. »
auteur : Frederik Tibau
Source DataNews.be