Toute l'actualité des noms de domaine et nouveaux gTLDs

Archives de mots clés: dns

Sécurité IT : VeriSign fait entrer le « .com » dans l’ère du DNSSEC

Le registre VeriSign a mis en place le protocole sécurisé DNSSEC pour protéger les noms de domaine « .com ». Il doit permettre aux entreprises de se prémunir contre des attaques ciblant le DNS.

Le volume des attaques ciblant les serveurs DNS va t-il faiblir ?

C’est l’ambition de VeriSign, le registre américain qui gère l’extension « .com », en implémentant le protocole DNSSEC.

La société, pionnière de l’Internet, avait déjà mis en œuvre DNSSEC sur le « .net ».

Mais cette extension est une grande étape en termes de sécurisation des DNS au regard de l’exploitation du « .com » dans le monde (90 millions dans le monde).

Au total, plus de 25 extensions de noms de domaine sont désormais couvertes par la technologie DNSSSEC.

En France, le DNSSEC est une réalité depuis le deuxième semestre 2010. L’AFNIC a fourni des efforts de promotion dans ce sens.

« En arrivant à cette étape cruciale dans le déploiement de DNSSEC, VeriSign et la communauté de l’Internet ont fait d’énormes progrès dans la protection de l’intégrité des données DNS » , a déclaré Pat Kane, Vice-Président senior et Directeur Général des services de noms de domaine chez VeriSign.

Si le travail reste entier et l’adoption lente, la généralisation progressive de DNSSEC – considérée comme l’une des principales avancées depuis la création du World Wide Web – est un point crucial pour résoudre les problèmes de confiance sur l’Internet et ainsi œuvrer pour la protection des internautes.

Une enquête (Gartner ?) auprès de plus de 1000 responsables de la sécurité IT a démontré que la moitié n’étaient pas sûr de savoir ce qu’était DNSSec.

Seulement 5% ont mis en œuvre et 16% ont planifié une mise à niveau des systèmes d’ici l’année prochaine.

« Comme tout changement dans les grandes infrastructures, ce n’est pas quelque chose que vous mettez en place en quelques jours. Il faut compter au moins deux trimestres ou plus » , explique Lawrence Orans, directeur des recherches chez Gartner.

« Au fil du temps, nous allons sans doute voir beaucoup de sociétés qui vont offrir de nouveaux services pour rendre plus facile le passage à DNSSec ce qui devrait favoriser son adoption. »

Source: IT Espresso

La Libye tente de couper l’accès à Internet

Les autorités libyennes ont coupé l’accès à Internet du pays, dans la nuit de vendredi à samedi, d’après les mesures effectuées par les entreprises Arbor Networks et Renesys. Peu avant la coupure, les autorités avaient bloqué l’accès à plusieurs sites Internet, dont le réseau social Facebook ou le site de la chaîne d’information Al-Jazeera. Samedi matin, l’accès au réseau semblait partiellement rétabli, certains points d’accès répondant à nouveau, mais l’accès aux sites libyens restait très fortement perturbé.

Le blocage rappelle très nettement celui pratiqué par les autorités égyptiennes fin janvier. Sur le plan technique, la Libye a, comme l’Egypte, coupé les protocoles Border Gateway Protocol (BGP, qui permet aux sites Web d’indiquer leur position sur le réseau) et Domain Name Server (DNS, qui permet aux internautes de s’orienter). L’accès est donc coupé pour les internautes libyens, mais également pour les internautes étrangers qui souhaitent consulter un site libyen.

Comme l’Egypte, la Libye n’a pas eu besoin de recourir à des subterfuges poussés pour contraindre les opérateurs à couper le réseau : le directeur de l’opérateur télécom national et principal fournisseur d’accès à Internet n’est autre que Moahmmed Al-Kadhafi, le propre fils et successeur désigné de Mouammar Kadhafi.

Le rétablissement, tôt samedi matin, des principaux points d’accès au Web ne signifie pas que l’accès à Internet est redevenu normal en Libye. Lors de coupures des principaux protocoles Internet, plusieurs heures, ou même plusieurs jours, peuvent être nécessaires avant un rétablissement complet. La coupure pratiquée au cours de la nuit a également pu servir de test avant d’autres restrictions d’accès. Plusieurs fournisseurs d’accès à Internet étrangers, dont le français FDN, ont mis en place des numéros d’accès pour l’Internet à bas débit, qui permettent de contourner ce type de blocage tant que les lignes fixes fonctionnent.

La coupure de l’accès en Libye a également provoqué des remous dans la Sillicon Valley : de nombreux services, et notamment les raccourcisseurs d’URL comme bit.ly, utilisent des noms de domaines libyens, le « ly » permettant toutes sortes de jeux de mots en anglais. Une partie des serveurs centraux gérant ce nom de domaine étant situés aux Etats-Unis, la coupure ne devrait cependant pas avoir d’impact sur les sites en .ly qui ne sont pas hébergés en Libye.

Damien Leloup

Source: Le Monde

Le registre égyptien dans la tempête

Suite aux récents évènements, les titulaires de noms de domaine sous extension égyptienne (.EG) s’interrogent sur leurs actifs.

Les professionnels locaux de la propriété industrielle se veulent toutefois rassurants :

» January 30th 2011 – Due to the recent events in Egypt, communications including the internet are not possible throughout the country. Moreover, all Government Departments, including Trade Mark and Patent Offices are closed until further notice.


We have teams working from different locations inside and outside Egypt on receiving communications, listing deadline and preparing applications to guarantee immediate filing and response in due time.
We are monitoring the situation closely and shall inform you immediately once the matter is cleared. »
Nous vous proposons une traduction francophone de ce message qui nous a été adressé par notre confrère local :
« En raison des évènements récents, les communications transitant par [l’Egypte et] incluant l’internet ne sont pas possible. Par ailleurs, tous les services gouvernementaux, y compris les bureaux en charge des marques commerciales et des brevets, sont indisponibles jusqu’à nouvel ordre.

Nous collaborons avec différentes équipes situés en Egypte et à l’étranger pour recevoir les communications, établir la liste des délais et préparer les procédures qui garantiront une prise en charge immédiate [des demandes] et une réponse en temps utile.

Nous surveillons la situation avec attention et vous informerons immédiatement dès que ces problèmes seront résolus.«
Cette annonce fait suite à la décision du gouvernement Egyptien du 28 janvier dernier d’interrompre les services des fournisseurs d’accès locaux. En pratique, cette mesure rend impossible les communications destinées ou provenant des réseaux numériques localisés en Egypte.
Sur le terrain, nous constatons que des anomalies de connexion frappent de nombreux sites Internet égyptiens.
Paradoxalement, le Registre de l’extension locale ne semble avoir pris aucune mesure de neutralisation de la zone de nommage .EG

Les noms de domaine sous extension .EG restent bien actifs à ce jour.
Les problèmes de connexions sont visiblement causés par l’impossibilité de joindre les serveurs égyptiens intégrés aux infrastructures locales. Dans les faits, les noms de domaine en .EG continuent de fonctionner normalement, mais la destination qu’ils indiquent est parfois injoignable.
iStock Photo
Cette situation rappelle certaines précautions techniques pour des noms de domaine stratégiques:
– l’importance de désigner des serveurs DNS autoritaires situés (physiquement) dans plusieurs pays.
– l’intérêt de dupliquer les contenus désignés par ces noms sur des serveurs situés (physiquement) dans plusieurs pays.
Ces mesures devront être prises en amont pour conserver la continuité des sites web les plus importants en cas de crise majeure et localisée.
Source: VoxPI.info

Stéphane Bortzmeyer, AFNIC : « Pendant des années, on va avoir des problèmes entre IPv4 et IPv6 »

Stéphane Bortzmeyer est architecte systèmes et réseaux à l’AFNIC, l’Association française pour le nommage Internet en coopération, chargée de gérer les noms de domaine de premier niveau au niveau de la France. Alors qu’il reste un peu moins de 2% des ressources totales d’adresses IPv4 dans le monde, beaucoup d’acteurs n’ont pas fait le pas vers l’IPv6, aux stocks d’adresses quasiment inépuisables. Le problème est connu, mais Internet ne semble pas prêt, alors que les adresses IPv4 seront épuisées… Aujourd’hui. Pourquoi ? Que faire ? Stéphane Bortzmeyer a accepté de nous livrer son analyse. On peut également retrouver ses articles sur son blog, qu’il tient depuis 1996.

Bonjour, Stéphane Bortzmeyer. Des grandes sociétés du net qui lancent un IPv6 Day, des médias qui parlent d’une IPcalypse… Est-ce que la situation est aussi critique qu’elle en a l’air ?

Ce qui est sûr, ce que quand on a une ressource finie et qu’on l’épuise à un rythme non nul, elle finit par disparaître. C’est le cas aujourd’hui avec les adresses IPv4, on ne peut pas le nier. Pour ce qui est des conséquences, c’est difficile à juger. Il y avait un plan initial, qui était d’assurer la migration tranquillement. Comme les protocoles sont incompatibles, l’idée était de faire en sorte que tout le monde ait les deux, pour que tout le monde soit bilingue IPv4 / IPv6. Puis, quand presque tout le monde avait les deux, on pouvait progressivement abandonner l’IPv4.

Le principal problème, aujourd’hui, c’est que ce plan original n’a pas été appliqué. On va se retrouver avec des machines purement IPv6, alors que tout le monde est très loin d’avoir migré. Ce qui augmente mécaniquement la fragilité d’Internet. Après, il ne faut pas trop dramatiser : Internet fonctionnera toujours. Mais ça va se traduire par plus d’embêtements. Ca va être assez pénible, parce qu’on va se le prendre dans la figure brutalement, et qu’il va falloir faire des bricolages dans l’urgence. Pendant des années, on va avoir des problèmes entre IPv4 et IPv6.

Pour ce qui est de Google, et les autres entreprises qui soutiennent l’IPv6 Day, pour la plupart, ce ne sont pas les fautifs. Si tout le monde était comme Google, le problème serait résolu. Parmi les gros hébergeurs, ce sont les plus avancées, avec des versions des principaux services accessibles en v6. Facebook est accessible via une adresse spéciale, Yahoo et Twitter pas du tout. En France, aucun des grands sites ne l’est.

C’est tout de même étonnant : l’épuisement des adresses IPv4 disponibles est programmé depuis longtemps ?

Le problème principal, c’est que beaucoup de décideurs ne connaissent que l’urgence absolue. Soit le problème est urgent, et alors on le traite, soit on décide qu’il ne l’est pas tant que ça, et alors on ne fait rien. A cela s’ajoutent des irresponsables qui ont nié le problème pendant longtemps, mais là c’est complètement absurde.

Mais il y a toujours beaucoup de raisons d’attendre, et de repousser. Cette mentalité de l’urgence, des pressions, ou même le management en mode projet. Quand à chaque fois qu’on fait quelque chose, il faut faire un projet, avec un but identifié, un budget à court terme et une nécessité de retour sur investissement rapide, ça interdit de travailler sur tout ce qui est infrastructure. Même si cela se traduisait par des avantages globalement, dans la mentalité de la gestion de projets, on ne voit que l’inconvénient : les coûts.

Prenons l’exemple de Nerim. Ils sont passés très tôt à l’IPv6 : dès 2002. Ils ont dû gagner quelques clients grâce à ça, mais ça reste marginal. De toute façon, les inconvénients du passage à l’IPv6 assez tôt ne sont supportés que par les courageux, alors que les inconvénients de ne pas migrer sont supportés par tout le monde.

Il valait donc mieux attendre de leur point de vue ?

Bien sûr. Il ne faut pas attendre trop, évidemment. Le dernier à migrer a beaucoup d’inconvénients aussi. Mais tant qu’on reste perdu au milieu du troupeau, ce n’est pas un problème, puisqu’au lieu de prendre en charge les coûts du passage à l’IPv6, on rejette le problème sur tout le monde : les développeurs, par exemple, qui doivent faire des bricolages. Un fournisseur d’accès à Internet qui passe à l’IPv6 aujourd’hui n’y gagne rien financièrement, et il n’y a pas d’autre motivation disponible.

D’où l’intérêt du régulateur… L’Union européenne a tout de même mis en place un plan pour aider au passage des infrastructures à l’IPv6.

Dans l’absolu, ce n’est pas une mauvaise idée que le régulateur fasse un effort. Ne serait-ce que pour amorcer la pompe. Mais dans les faits, ça dépend beaucoup du niveau de sérieux avec lequel c’est fait. Pour l’Union européenne, par exemple, on peut voir que le site web de la Commission européenne n’est lui-même pas accessible en v6. Alors on cause, on donne des conseils, on élabore des plans stratégiques, mais du côté des tâches pratiques, rien n’est fait. C’est un peu normal que les gens n’écoutent pas la Commission si elle-même ne fait pas les efforts qu’elle demande.

D’ailleurs, en France, où il n’y a pas eu d’action particulière du régulateur, on peut voir que nous ne sommes pas les pires. Nous sommes même l’un des pays les plus avancés au niveau mondial, et dans tous les domaines. Nous sommes l’un des rares pays où un opérateur grand public, Free, a mis en place une solution IPv6. Du côté de l’hébergement, la totalité du marché des machines dédiées y est passé. D’autres fournisseurs d’accès à Internet, comme Nerim ou la FDN, ont fait la migration.

Mais pas les autres… Quelles ont été les motivations pour ceux qui ont fait la migration ?

C’est en partie à cause de l’effet « dernières techniques rigolotes ». Quand Free fait la migration, il se fait admirer des geeks. Ca peut motiver certaines entreprises. Mais il y a aussi d’autres motivations : c’est un pari sur l’avenir, car ceux qui auront fait l’effort les premiers pourront avoir un avantage ensuite. Les motivations peuvent être diverses. Quoiqu’il en soit, ce n’est pas si compliqué que ça de passer à l’IPv6.

On peut donc ramener ça sur le plan du fonctionnement des entreprises. Une société comme Free, où Nerim, peut mettre en place une migration assez facilement. Ce n’est pas si cher, pas si compliqué. Ce sont des entreprises avec un processus de décision léger, où cela ne dépend que de quelques personnes qui se connaissent bien. Dans beaucoup d’autres organisations, rien que pour repeindre les murs dans le couloir, il faut monter un projet, avec une fiche d’opportunité, un budget, et vérifier avec les avocats les problèmes juridiques que ça va poser.

Il reste six mois d’adresses IPv4 disponibles à l’APNIC, qui gère les distributions sur la région Asie-Pacifique. Est-ce que ça va suffire pour permettre aux autres de se retourner ?

Les lois de la physique disent que si on fonce à 200 kilomètres par heure vers un mur et qu’on ne freine pas à temps, on fonce dedans. Il aurait fallu s’y prendre il y a un ou deux ans, et ça aurait été. Cela dit, si on freine bien, on peut essayer de ne prendre le mur qu’à 50 kilomètres par heure, ce sera déjà ça. Je sais qu’Orange réfléchit au problème de l’IPv6. Ils ne font pas partie des entreprises qui ne font absolument rien, comme on peut en voir aux Etats-Unis, ou en Afrique. Certaines organisations n’ont même pas mis en place une veille technologique de base pour suivre le problème !

Après, ça prend du temps de déployer la migration sur l’ensemble du réseau d’Orange. Alors au début, cela ne se verra pas trop. Il y aura quelques serveurs seulement IPv6, ils seront implantés en Chine, on ne les verra pas vraiment. Mais ça va augmenter, et on va se retrouver face à de nombreux petits embêtements un peu partout. Il n’y a pas de risque de coupure d’Internet, mais l’expérience utilisateurs va être moins bonne.

Source: Clubic .com

VeriSign déploie les extensions de sécurité DNS dans la zone « .net »

VeriSign, Inc., fournisseur réputé de services d’infrastructure sur Internet pour le monde numérique, annonce aujourd’hui le déploiement de ses extensions de sécurité DNS (DNSSEC ) dans la zone « .net ».

Avec plus de 13 millions de noms de domaines enregistrés dans le monde, la zone « .net » est la plus importante à bénéficier du protocole DNSSEC. L’extension « .net » constituant le socle de nombreuses fonctions Internet critiques, la signature des domaines « .net » représente une étape cruciale dans la mise en œuvre de la technologie DNSSEC.

Pour authentifier l’origine des données et vérifier leur intégrité lors de leur transmission sur la Toile, le protocole DNSSEC applique des signatures numériques aux données DNS. Les extensions de sécurité sont conçues pour protéger les serveurs DNS des attaques visant à rediriger les requêtes vers des sites malveillants par corruption des données DNS stockées sur les serveurs récursifs. La mise en œuvre du protocole DNSSEC permettra de réduire considérablement le pouvoir de nuisance des pirates sur les données DNS. Les signatures numériques apposées à ces données DNS seront validées au travers d’une « chaîne de confiance ».

Cette extension à la zone « .net » marque une nouvelle étape décisive de la démarche suivie par VeriSign pour améliorer l’intégrité des communications et des transactions en ligne via l’implantation du DNSSEC sur l’ensemble de l’infrastructure DNS. La protection de la zone « .net » par DNSSEC permet à VeriSign d’intégrer les enregistrements DNSSEC provenant de bureaux d’enregistrement de noms de domaines dans son registre « .net » de référence. Fruit de plusieurs mois de tests volontaires et rigoureux sur le DNSSEC, cette nouvelle étape s’inscrit dans le prolongement du travail engagé un peu plus tôt cette année par VeriSign, en collaboration avec EDUCAUSE et le Ministère américain du commerce, sur l’implémentation du DNSSEC dans la zone « .edu ». VeriSign prévoit de signer la zone « .com » dans le courant du premier trimestre 2011.

L’exploitation du laboratoire d’interopérabilité DNSSEC par VeriSign est l’un des signes forts de la collaboration entre VeriSign et les acteurs de la communauté d’Internet autour du DNSSEC. Le laboratoire, où l’on retrouve des collaborateurs de VeriSign, apporte son soutien aux fournisseurs de solutions et de services qui veulent savoir si les paquets DNS contenant des informations DNSSEC – généralement plus volumineux que les paquets DNS standard – sont susceptibles de poser problème aux composants de leur infrastructure Internet et d’entreprise. Le laboratoire les accompagne dans l’audit de leur écosystème de communications Internet en vue d’une implémentation DNSSEC.

Les actions menées par VeriSign dans le domaine du DNSSEC cadrent également avec le projet Apollo – un projet porté par l’entreprise pour faire évoluer l’infrastructure DNS d’Internet en multipliant par mille ses niveaux actuels. Le but : pouvoir gérer un volume quotidien de requêtes estimé à 4 quadrillions en 2020. L’initiative Apollo s’inscrit dans le prolongement du projet Titan animé par VeriSign et dont l’objectif était de décupler l’infrastructure DNS par rapport aux niveaux de 2007. En capitalisant sur les réalisations de Titan, le projet Apollo devrait permettre à VeriSign de relever les défis infrastructurels d’Internet au cours de la prochaine décennie.

Source: Global Security Mag

Des noms de domaine en « .p2p » à l’abri du pouvoir judiciaire ?

Alors que les Etats sont de plus en plus nombreux à demander aux FAI de bloquer des noms de domaine, pour des motifs politiques ou juridiques, une communauté d’internautes s’organise pour créer une extension de noms de domaine très difficiles à censurer. L’accès aux sites en « .p2p » serait en effet géré par un système DNS presque entièrement décentralisé. Explications.

Ces dernières semaines, l’activité des autorités américaines a ranimé beaucoup d’inquiétudes sur la facilité avec laquelle les gouvernements peuvent contrôler les noms de domaine, pour fermer l’accès à des sites Internet jugés illicites. La polémique a débuté avec la proposition de loi COICA présentée au mois de septembre par le Sénat, qui doit donner aux autorités le pouvoir de fermer les noms de domaine déposés auprès de registrars américains, ou d’ordonner aux FAI qu’ils bloquent l’accès aux domaines étrangers, si les sites qui les exploitent violent des droits de propriété intellectuelle. Mais sans attendre l’adoption du COICA, les autorités ont déjà saisi plus de 70 noms de domaine de sites désormais inaccessibles dans le monde entier.

C’est donc en réaction qu’est né ces derniers jours le projet Dot-P2P, soutenu notamment par l’ancien porte-parole de The Pirate Bay, Peter Sunde. Il vise à créer un « système DNS ouvert, gratuit et décentralisé« , inspiré pour son fonctionnement du protocole BitTorrent. L’objectif final étant de créer des noms de domaine totalement intouchables par le pouvoir judiciaire et politique.

Depuis 1998, le système de gestion des noms de domaine est opéré par l’ICANN, une association à but non lucratif sous contrat avec le Département au Commerce américain. Via l’IANA, l’ICANN administre 13 serveurs DNS racines, et délègue la gestion de l’essentiel des noms de domaine de premiers niveaux (TLDs) à la société américaine VeriSign (.com, .net, .org, …), et à tous les organismes chargés des noms de domaine nationaux (l’AFNIC pour le .fr). Le tout forme un système hiérarchique. Numerama déclare à son registrar « le bon routage » vers tous ses sous-domaines *.numerama.com ; le registrar déclare à VeriSign le bon routage vers le domaine Numerama.com, et VeriSign déclare à l’ICANN le bon routage vers son serveur dédié au .com.

C’est le rattachement ultime de l’ICANN à l’administration américaine qui a fait dire au député UMP Jacques Myard que « si vous connaissiez Internet, vous sauriez que les DNS sont sous souveraineté américaine« , et lui a donné l’idée saugrenue de « nationaliser Internet ». C’était très exagéré, puisqu’absolument personne n’a l’obligation de croire que le « bon routage » qui a été déclaré est nécessairement juste et honnête. La pyramide ne tient que parce qu’il existe une relation de confiance à tous les étages, mais cette confiance peut être rompue à tout moment. Même dans le cas hautement improbable où les Etats-Unis décidaient de prendre le contrôle de l’ICANN et d’imposer ses règles aux gestionnaires de domaines de premier niveau, rien n’empêcherait que les autres Etats décident de ne plus faire confiance aux serveurs racines de l’ICANN, et de se reposer sur des alternatives.

Le risque mis en exergue par le COICA n’est pas celui de la dépendance du web aux autorités américaines, mais celui du pouvoir que peut s’arroger en interne chaque pays sur les différents acteurs qui gèrent les maillons de la chaîne du DNS, en particulier les FAI et les registrars. D’où l’idée de créer un TLD intouchable, le « .p2p ».

Pour s’assurer qu’ils ne puissent faire l’objet d’aucune censure, les registres qui associent une adresse IP à un nom de domaine .p2p ne seraient pas gérés comme d’ordinaire par des autorités publiques ou privées, soumis à des lois, mais de manière fortement décentralisée. Chaque internaute qui souhaite accéder à un site en « .p2p » devra installer une application P2P qui ne partage pas des fichiers, mais une base de données sécurisée de noms de domaine associés à leur adresse IP respective.

Reste un problème de taille à résoudre : comment gérer l’enregistrement des noms de domaine en .p2p ? Il n’est pas possible ici de se reposer sur un système automatisé et décentralisé. Il faut une autorité de confiance, qui prend en charge les demandes de réservation de noms de domaine, gère les conflits, publie les modifications au registre, etc, mais qui ne soit pas pour autant sous la juridiction d’un Etat. Le projet le plus avancé à ce stade serait de confier cette mission à la communauté OpenNIC, une organisation sans personnalité juridique qui administre déjà des TLD non reconnus par l’ICANN (.bbs, .free, .geek, .indy,…). Les décisions y sont prises collectivement, ou par un administrateur élu par la communauté OpenNIC.

Selon le projet d’accord publié sur le wiki d’OpenNIC, pour réserver un domaine en .p2p, il faudra être d’abord propriétaire du même nom avec un autre TLD (par exemple nous pourrions avoir Numerama.p2p parce que nous possédons Numerama.com). Si cette condition est remplie, l’enregistrement sera gratuit.

Source: Numerama

Le cofondateur de The Pirate Bay relance le débat sur les noms de domaine

Après avoir contribué à faire connaître les réseaux d’échanges de fichiers de pair à pair (P2P), Peter Sunde, cofondateur de The Pirate Bay, souhaite lancer un système de noms de domaine « alternatif » et décentralisé.

Le système des noms de domaine (« Domain Name System » en anglais ou DNS) est un enjeu crucial du Web. C’est ce dispositif qui établit une correspondance entre les adresses chiffrées et uniques des adresses IP des ordinateurs et les adresses nominatives connues des internautes, telles que http://www.lemonde.fr, par exemple.

« L’ICANN PEUT ÊTRE CONTRÔLÉE PAR DES GOUVERNEMENTS »

Avec son P2P DNS, Peter Sunde souhaite reprendre les principes de Bittorrent, le célèbre protocole qui permet d’échanger, rapidement et de manière décentralisée, de grandes quantités de données entre internautes. Pour l’heure, le projet n’en est qu’au stade préliminaire, avec la constitution d’un groupe de travail. « Nous ne sommes pas encore organisés, mais la base du projet, c’est que nous voulons qu’Internet ne soit pas censuré. Avoir un système centralisé qui contrôle notre flux d’information est inacceptable. »

Dans le système actuel, la gestion des noms de domaine est confiée à l’Internet Corporation for Assigned Names and Numbers (Icann), une organisation de droit privé à but non lucratif, créée en 1998 et basée en Californie. L’Icann, qui supervise aussi le volet économique de ce marché très lucratif, fait régulièrement l’objet d’appels à une gestion moins unilatérale. « L’essentiel du problème du DNS n’est pas l’Icann », précise néanmoins M. Sunde, sur Twitter. « Le problème est que des gouvernements et des entreprises peuvent le contrôler », poursuit-il.

DES DIFFICULTÉS TECHNIQUES À PRÉVOIR

Cette initiative intervient alors que les autorités américaines ont « saisi », à la fin du mois de novembre, plus de soixante-dix noms de domaine de sites suspectés de favoriser la contrefaçon et le téléchargement illégal. Le Combating Online Infringements and Counterfeits Act (Coica), projet de loi dont le but est de lutter contre les atteintes aux droits d’auteur sur Internet, est également actuellement discuté au Congrès.

Mais le P2P DNS pourrait difficilement s’imposer. Outre les difficultés techniques pour mettre en œuvre un DNS décentralisé, certains Etats, comme la Chine, s’attachent à créer leur propre système de noms de domaine, indépendant de l’Icann, société de droit californien, et donc soumise au département du commerce états-unien, tout en ayant une compétence mondiale. L’an dernier, Google a aussi lancé son service DNS.

Source: Le Monde

.MOBI Registry Unscheduled Maintenance [RESOLVED] [24 October 2010, 04:05 to 04:30 UTC]

Please be advised that the unscheduled maintenance has ended as of 04:30 UTC.

Please note that:

SRS: Available

Web Based Administrative Interface: Available

WHOIS: Available

OT&E: Available

DNS: Resolution is unaffected

We apologize for the inconvenience.  Please contact Technical Support should you have any further questions.

Des serveurs DNS de Microsoft détournés par des cyberpirates russes

Sécurité – Deux serveurs utilisés par Microsoft pour résoudre ses noms de domaines officiels ont été détournés pour router du trafic vers 1 000 sites proposant de faux produits pharmaceutiques et mener des attaques DoS.

Un groupe de cybercriminels russes est parvenu à détourner deux serveurs DNS de Microsoft pour rediriger vers plus de 1000 sites web revendant de faux produits pharmaceutiques (Viagra, hormones de croissance…).

Selon The Register qui a rapporté l’affaire, le piratage durait depuis le 22 septembre. Il a été découvert par Ronald Guilmette, un chercher en sécurité travaillant pour Infinite Monkeys qui traquait des spams. Ce dernier a identifié les deux adresses IP appartenant à Microsoft qui ont été utilisées par les DNS frauduleux. Les pirates se seraient également servis du système pour lancer au moins une attaque denial of service (déni de service) contre un site web spécialisé dans la sécurité informatique.

La firme de Redmond a ouvert une enquête suite à ces révélations et expliqué que « deux équipements réseaux mal configurés dans un laboratoire de test ont été compromis à cause d’une erreur humaine. Ces équipement ont été retirés ». Ce qui n’explique pas de quelle manière ces serveurs ont été « compromis ». (Eureka Presse)

Source: ZD net.fr

L’Afnic renforce la sécurité du «.fr»

L’association française de nommage Internet déploie le nouveau protocole DNSSEC mieux sécurisé face aux attaques des serveurs DNS par empoisonnement de cache. Reste à convaincre les registrar et utilisateurs de l’adopter.

Comment sécuriser davantage les transactions en ligne? L’une des réponses s’appelle DNSSEC (Domain Name System Security Extensions ) que l’Afnic (Association française pour le nommage Internet en coopération) est en train de déployer dans la zone France (.fr) et Réunion (.re).

Cette nouvelle mesure de protection a été abordée suite à la découverte d’une faille dans le protocole DNS en 2008 par le chercheur en sécurité Dan Kaminsky. La vulnérabilité était susceptible de faire tomber le Web en menant une attaque par empoisonnement de cache. Une menace qui a mobilisé gouvernement et grands groupes à l’époque entraînant une prise de conscience sur la nécessité de déployer le protocole DNSSEC des acteurs de l’Internet (nommage, télécoms, hébergeurs…).

Un déploiement qui concerne en premier lieu les gestionnaires de serveurs DNS, les bureaux d’enregistrement et les FAI. Mais leur volontarisme est inégal, notamment en raison des coûts financiers inhérents. Ce qui est d’autant plus problématique que l’efficacité du protocole ne portera ses fruits qu’à travers une implication et une appropriation globale de tous les acteurs. « Une attaque par empoisonnement de cache est toujours possible. On considère que 20 à 25% des serveurs dans le monde ne bénéficient pas d’une vraie mise à jour de sécurité », Mathieu Weill, directeur général de l’Afnic selon des propos cités par ITespresso.fr.

Rappelons que le DNSSEC n’est pas une nouveauté technique. L’IETF (Internet Engineering Task Force) l’a scruté dès 1995 et la Suède s’est montrée précurseur dans son adoption en 2007. Puis des pays comme la Bulgarie, le Brésil ou le Porto-Rico ont suivi… L’Afnic suit aujourd’hui le mouvement d’adoption devenu «mainstream», selon Mathieu Weill. A ce jour, une quinzaine de registres ont déjà signé leurs zones… « Toutes les extensions nationales devraient signer cette année », estime le directeur. La racine elle-même du DNS (gérée par l’ICANN et VeriSign) a été signée en juillet 2010. L’an prochain, ce sera au tour du plus générique des noms de domaine : «.com» (90 millions dans le domaine) alors que la conversion DNSSEC du «.org» a été effectuée en 2009.

Au tour, donc, de l’Afnic d’agir. Le 14 septembre dernier, le déploiement de DNSSEC en France a débuté avec la signature du «.fr» et du «.re». Prochainement, la clé publique de chiffrement associée au «.fr» sera publiée dans les serveurs racines. Ce qui bouclera la procédure technique. Mais, pour l’association de nommage, le plus gros effort reste à venir : informer le grand public, vulgariser, former les administrateurs de gestion DNS (FAI, hébergeurs, centres de bureau d’enregistrement…). « Ce n’est pas obligatoire de déployer le DNSSEC mais nous estimons que c’est une responsabilité à chaque niveau », précise Mathieu Weill. Pour faciliter l’appréhension, l’organisme proposera bientôt la version 3 de ZoneCheck, son outil de test de configuration DNS (logiciel libre sous licence GPL et gratuit).

Quel sera le coût de déploiement de DNSSEC pour gestionnaire de DNS? « Le budget sera variable. La fourchette de prix variera en fonction du degré de maîtrise escompté, explique Mathieu Weill, à l’Afnic, on ne fera pas payer une empreinte de clé dans notre système. » Les bureaux d’enregistrement de noms de domaine pourront cependant répercuter le coût de mise à jour sur la facture de leurs clients.

Source: Silicon.fr