DNS.be signe la zone racine .be avec DNSSEC

Le gestionnaire de domaines belge DNS.be va signer cette semaine la zone racine .be avec le protocole de sécurisation DNSSEC. L’introduction de ce nouveau standard de protection est considérée comme une étape importante dans la lutte contre le hameçonnage (phishing).

Depuis que l’expert en sécurité Dan Kaminsky a signalé il y a plus de deux ans au monde entier une sérieuse brèche dans DNS, il se fait que seul DNSSEC offre une solution plus ou moins hermétique à la défense de l’intégrité du système des noms de domaine (DNS). DNSSEC sera même obligatoire avec les nouvelles extensions internet qui nous arriveront très bientôt.

Ce nouveau standard de sécurisation introduit ce qu’on appelle les ‘public key algoritmes’ dans le système des noms de domaine. En clair, cela signifie qu’à chaque réponse donnée par DNS, une sorte de signature numérique y sera associée. Les malfaiteurs sur le net ne pourront donc plus ni polluer la cache ni orienter les surfeurs ne soupçonnant rien vers des sites factices, parce que l’authenticité de l’information demandée sera toujours vérifiée. Les internautes aboutiront donc en principe toujours à l’endroit recherché.

Les utilisateurs finaux qui souhaitent enregistrer un nom de domaine .be protégé par DNSSEC, resteront cependant encore un peu sur leur faim. “Actuellement, nous n’avons signé que notre infrastructure de serveurs de données, même si nous avons prévu aussi une plate-forme test pour nos agents”, déclare le directeur général de DNS.be, Philip Du Bois.

Plus tard cette année, probablement fin septembre, les utilisateurs finaux pourront également solliciter un nom de domaine .be sécurisé. “D’ici là, nous aurons complètement mis à jour notre système d’enregistrement, et nos agents pourront eux aussi proposer DNSSEC. Avec cette approche en phases, nous suivons du reste l’exemple des Pays-Bas.”

Investissements
Comme chaque nom de domaine devra être pourvu d’une clé numérique, le processus d’enregistrement deviendra nettement plus complexe. “Nous nous attendons à ce que le fichier-racine dans lequel les noms de domaine sont stockés, devienne huit fois plus volumineux”, explique Du Bois. “Et la vitesse d’accès aux serveurs devra également être augmentée. Heureusement, notre parc des machines est déjà prêt. Dans un premier temps, nous n’envisageons donc pas d’investissements supplémentaires.”

En fait, le déploiement de DNSSEC chez DNS.be était prévu dès 2009. “C’est exact”, répond Du Bois. “Mais l’on n’est pas à quelques mois près. C’est même une bonne chose que nous ne soyons pas les premiers: nous avons tiré les leçons des erreurs des autres. En outre, la chaîne doit être complètement fermée. Tous les maillons du processus d’enregistrement doivent être signés, sinon, cela n’a aucun sens.”

“L’Icann n’a signé les zones racines avec DNSSEC qu’il y a quelques semaines, et il y a encore beaucoup d’agents qui doivent encore être convaincus. Si deux parties sur cinq travaillent avec le nouveau standard, l’utilisateur n’en tirera rien. Autrement dit, si les registrars ne collaborent pas, cela ne marchera pas.”

Source: datanews.rnews.be