Toute l'actualité des noms de domaine et nouveaux gTLDs

L’AFNIC évangélise sur le DNSSEC

L’organisation en charge de l’enregistrement des .fr va initier le déploiement de DNSSEC. Ce protocole de sécurité devrait progressivement s’intégrer auprès des hébergeurs, des FAI, etc.

L’idée n’est pas récente, la sécurisation des systèmes des noms de domaine a commencé à poindre son nez en 1995 lors de travaux au sein de l’IETF. A cette époque, le DNS était émis par un « serveur faisant autorité » comme par exemple ceux de l’AFNIC pour être reconnu par les serveurs résolveurs (ceux des FAI en général). L’objectif de ce système est d’authentifier le bon service, comme amazon.fr ou lemondeinformatique.fr. Les notions de sécurisations sont apparues avec la découverte par un chercheur, Dan Kaminsky, en 2008 d’une faille sur le DNS. Il a en effet trouvé une méthode, l’empoisonnement de cache, pour dériver le flux d’informations entre les deux serveurs cités précédemment et récupérer ainsi des données critiques.

Fort de ce constat, la mise en oeuvre du protocole DNSSEC (Domain Name System Security Extensions) est devenue un élément essentiel de la sécurisation du système. Ces extensions reposent sur des mécanismes de signature cryptographique asymétrique pour authentifier les enregistrements. Mathieu Weil, directeur général de l’AFNIC concède que « ce protocole entraîne des investissements dans les boîtiers cryptographiques et augmente la taille des messages, ainsi que du nombre d’échanges pour vérifier les signatures ». Concrètement, les organisations en charge des noms de domaine sont toutes progressivement en phase de signature de leur extension de sécurité. Pour l’AFNIC, le.fr a été signé le 14 septembre. L’organisme va donc assister les différents acteurs des noms de domaine (bureaux d’enregistrement, FAI, hébergeur, etc.) pour déployer DNSSEC. Des formations, ainsi que des dossiers thématiques sur le sujet et un logiciel gratuit ZoneCheck, qui prend en compte les DNSSEC vont être mis à disposition de cette communauté.

En ce qui concerne le prix de cette sécurisation, Mathieu Weil se veut rassurant « la sécurité a un coût, mais l’expérience suédoise pionnière en la matière montre que les hébergeurs ou les bureaux d’enregistrements intégreront cette option sans surcoût. Pour autant, comme dans d’autres activités informatiques, il faut s’attendre à un spectre tarifaire assez large ». L’AFNIC entend bien prendre son bâton de pèlerin pour professer les vertus du DNSSEC, même si son dirigeant s’attend à ce que cela soit progressif.

Source: LMI.fr