Sécurité optimale côté DNS : le DNSSEC et le DNS Premium

Rouage central des interactions réseaux, le DNS représente une cible idéale pour les pirates dont les attaques se perfectionnent sans cesse.
Les coûts et conséquences de telles attaques peuvent s’avérer élevés pour l’entreprise. Interruptions de services, vols de données, extorsions financières, les objectifs des criminels sont multiples.

C’est pourquoi, il est aujourd’hui important de sécuriser ses noms de domaine stratégiques en les plaçant sur des DNS hautement sécurisés, avec une disponibilité à 100%. A minima, la mise en place du DNSSEC est hautement recommandée.

Le DNSSEC, qu’est-ce que c’est ?

Derrière ce nom technique (Domain name system security extensions) se cache un protocole standardisé qui permet de sécuriser les données envoyées par le DNS. Les enregistrements sont signés cryptographiquement et met cette signature dans le DNS. Une chaîne de confiance est ainsi créée jusqu’à la racine du DNS.

Pour schématiser le fonctionnement du DNSSEC au plus simple :

  • Pour protéger une zone DNS, celle-ci va être signée par une clé avec des informations uniques.
  • La partie publique de la clé est envoyée au Registre pour qu’ils puissent ultérieurement valider qu’il s’agit bien de la bonne zone.
  • Quand vous vous rendez sur un site, par exemple monsite.com, le DNS qui s’occupe de ce site va non seulement renvoyer l’adresse IP mais aussi une signature monsite.com.
  • Le programme va alors demander au DNS du Registre du .COM la clé publique de la zone monsite.com et s’en servir pour vérifier que la signature reçue est correcte.
  • Si tout est bon, la connexion à l’IP de monsite.com se fera avec la certitude qu’elle est correcte.

Concrètement, le DNSSEC permet de lutter contre différents types d’attaques, notamment l’empoisonnement du cache (cache poisoning/DNS spoofing) qui corrompt le DNS et envoie l’internaute vers une autre IP.

Notre Responsable de la sécurité et des systèmes d’information, Gilles Buisson indique : « Historiquement le DNSSec est indispensable depuis la découverte d’une faille de sécurité DNS par Kaminsky en 2008. Néanmoins sa mise en place prend du temps, les récents évènements vont sans doute accélérer son déploiement. Son principal avantage est de vous assurer que votre navigation web va aboutir sur le véritable site et non une copie destinée à dérober vos identifiants et moyens de paiement.
Sur le sujet, DNSSec ou pas, il faut rester vigilant lors de votre navigation, ne pas cliquer sur des liens douteux reçus dans des mails, ne pas cliquer sur des bannières vous proposant la lune. Le DNSSec n’est pas une technologie qui peut résoudre tous les problèmes de sécurité néanmoins c’est une évolution indispensable pour rendre l’Internet plus sûr.
Le DNSSec prévient les attaques dites par empoisonnement de cache,  cela consiste à faire mentir un serveur DNS résolveur (celui de votre FAI par exemple) en lui injectant de fausses données destinées à détourner votre trafic vers des services malveillants. »

Comme pour les Registry lock, tous les registres ne fournissent pas la possibilité de mettre en place le DNS. A ce jour, voici la liste des extensions offrant cette possibilité : .fr, .com, .be, .net, .eu, .pl, .re, .pm, .yt, .wf, .tf, .info, .li, .ch, .biz, .de, .sx, .org, .se, .nl, .in, .us, .at, .nu, .la, .ac, .cz, .me, .sh, .io, .uk, .co.uk, .me.uk, .org.uk.

Le DNSSEC existe depuis de nombreuses années, mais comment expliquer le regain d’intérêt de ces derniers mois ? Gilles Buisson, répond : «Au cours du dernier trimestre 2018, plusieurs attaques ont eu lieu vis-à-vis de noms de domaine afin détourner leur trafic légitime. Ce type d’attaque est déjà arrivé mais ces dernières étaient très organisées et professionnelles. Leur couverture médiatique est sortie de la sphère technophile et a alerté le grand public (même si la justesse de certains articles est sujette à caution). L’impact de ces attaques aurait pu être diminué par l’utilisation du DNSSec,  c’est pourquoi cette technologie a été mise en avant par les médias. »

Un taux de disponibilité à 100% avec le DNS Premium

En France en 2017, ce sont 19 millions d’internautes qui ont subi les conséquences d’actions de cybercriminalité, représentant 6.1 milliards d’euros de pertes financières pour les entreprises.*

Le DNS Premium est l’assurance d’un site Internet parfaitement protégé, toujours disponible et une accessibilité record. Les gens n’aiment plus attendre en ligne, leur fournir une réponse rapide en affichant votre site Internet immédiatement peut faire la différence entre vous et vos concurrents.

Le référencement de votre site Web en sera également impacté puisque Google et autres moteurs de recherche sont sensibles aux temps de chargement, de disponibilité.

Avec 14 points de présence mondiaux, le réseau de DNS secondaires anycastés assure la meilleure redondance possible. Ainsi, peu importe où se trouve vos visiteurs, ils pourront vous trouver en un temps record. Les requêtes sont routées selon leur position géographique (requêtes routées par BGP).

Avec le DNS Premium, vous bénéficierez également d’un filtre anti-DDOS. Les attaques par déni de service visent à rendre un service indisponible en le saturant de demandes.

Namebay inclut dans son offre DNS Premium le DNSSEC et la redirection httpS vers httpS, sécurisant les échanges de bout en bout.

Pour connaître les détails de notre offre DNS Premium ou DNSSEC, notre équipe d’Experts se tient à votre disposition pour vous conseiller à l’adresse contact@namebay.com

*source : Etude Norton sur les cyber-risques

  • Post category:calendrier