Toute l'actualité des noms de domaine

Archives de mots clés: sécurité

Etats-Unis : la lutte contre le téléchargement illégal s’intensifie

Une proposition de loi au sénat permettrait de fermer les sites de téléchargement illégaux hébergés aux Etats-Unis et de filtrer les sites étrangers.

La lutte contre le téléchargement illégal s’intensifie aux Etats-Unis.

Sur le même sujet
  • Un groupe de hackers déclare « la guerre » aux ayants droit

Les sénateurs américains ont présenté, lundi 20 septembre, un projet de loi qui permettrait aux autorités américaines de pouvoir fermer les sites web considérés comme illicites en matière de copyright et hébergés aux Etats-Unis. La procédure consisterait à exiger la fermeture auprès du bureau d’enregistrement des noms de domaines (registrar). En parallèle serait engagée une procédure contre le propriétaire du nom de domaine.

Pour les sites hébergés à l’étranger, un filtrage serait réclamé auprès des fournisseurs d’accès.

« Cette proposition va changer la façon dont Internet est géré »

« Internet est devenu le ciment du commerce international […] mais il est aussi devenu un outil pour les voleurs en ligne afin de vendre des produits contrefaits et piratés, engendrant des pertes de centaines de millions de dollars pour la propriété intellectuelle américaine », a fait valoir Orin Hatch, l’un des sénateurs à l’origine de la proposition de loi intitulée « The Combating Online Infringement and Counterfeits Act » (« Le combat contre les violations de droits et les contrefaçons en ligne »).

« Si cette proposition de loi est acceptée, elle va changer pour de bon la façon dont Internet et les noms de domaines sont gérés », explique le site spécialisé TorrentFreak. Jusqu’à présent, aucun Etat ne gère les noms de domaines, seul l’ICANN a autorité ceux-ci.

Le président de l’ICANN, Rod Beckstrom, a d’ailleurs déjà averti du risque d’une telle législation : « Si la gouvernance [des noms de domaines] devait devenir l’apanage exclusif des Etats-nations, alors nous perdrions ce qui est la fondation du potentiel de l’Internet : […] un modèle de gouvernance multipartite« .

Source: Nouvel Obs

L’AFNIC évangélise sur le DNSSEC

L’organisation en charge de l’enregistrement des .fr va initier le déploiement de DNSSEC. Ce protocole de sécurité devrait progressivement s’intégrer auprès des hébergeurs, des FAI, etc.

L’idée n’est pas récente, la sécurisation des systèmes des noms de domaine a commencé à poindre son nez en 1995 lors de travaux au sein de l’IETF. A cette époque, le DNS était émis par un « serveur faisant autorité » comme par exemple ceux de l’AFNIC pour être reconnu par les serveurs résolveurs (ceux des FAI en général). L’objectif de ce système est d’authentifier le bon service, comme amazon.fr ou lemondeinformatique.fr. Les notions de sécurisations sont apparues avec la découverte par un chercheur, Dan Kaminsky, en 2008 d’une faille sur le DNS. Il a en effet trouvé une méthode, l’empoisonnement de cache, pour dériver le flux d’informations entre les deux serveurs cités précédemment et récupérer ainsi des données critiques.

Fort de ce constat, la mise en oeuvre du protocole DNSSEC (Domain Name System Security Extensions) est devenue un élément essentiel de la sécurisation du système. Ces extensions reposent sur des mécanismes de signature cryptographique asymétrique pour authentifier les enregistrements. Mathieu Weil, directeur général de l’AFNIC concède que « ce protocole entraîne des investissements dans les boîtiers cryptographiques et augmente la taille des messages, ainsi que du nombre d’échanges pour vérifier les signatures ». Concrètement, les organisations en charge des noms de domaine sont toutes progressivement en phase de signature de leur extension de sécurité. Pour l’AFNIC, le.fr a été signé le 14 septembre. L’organisme va donc assister les différents acteurs des noms de domaine (bureaux d’enregistrement, FAI, hébergeur, etc.) pour déployer DNSSEC. Des formations, ainsi que des dossiers thématiques sur le sujet et un logiciel gratuit ZoneCheck, qui prend en compte les DNSSEC vont être mis à disposition de cette communauté.

En ce qui concerne le prix de cette sécurisation, Mathieu Weil se veut rassurant « la sécurité a un coût, mais l’expérience suédoise pionnière en la matière montre que les hébergeurs ou les bureaux d’enregistrements intégreront cette option sans surcoût. Pour autant, comme dans d’autres activités informatiques, il faut s’attendre à un spectre tarifaire assez large ». L’AFNIC entend bien prendre son bâton de pèlerin pour professer les vertus du DNSSEC, même si son dirigeant s’attend à ce que cela soit progressif.

Source: LMI.fr

AFNIC – Actualités des opérations – SIGNATURE DNSSEC .fr & .re

Nous avons le plaisir de vous annoncer que les TLDs .fr et .re sont maintenant signés avec les extensions de sécurité du DNS (DNSSEC).

Clés et algorithme :

  • KSK :
    • Taille 2048 bits
    • Algorithme RSA/SHA2 (256)
    • Durée de vie 2 ans
  • ZSK :
    • Taille 1024 bits
    • Algorithme RSA/SHA2 (256)
    • Durée de vie 3 mois

Signature du déni d’existence :

  • NSEC3 + opt-out :
    • Sel 32 bits
    • 1 itération

La KSK de .fr

fr.     3600    IN      DNSKEY  257 3 8
AwEAAYz/bZVFyefKTiBBFW/aJcWX3IWHc8iI7Wi01mcZNHGC+w5EszmtHcsK/ggIu+V7lnJlHcamTNstxnSl4DAzN2Mgzux7sqd7Jlqa+BtRoI9MO3l2yi+qE6WIViUS0U3atm+l1SQsAgkyXlYBN52Up1jsVZ+FNt+kKGKzvIMo8/qM3mCYxkLhazj+q4Bg7bH+yNhHOaZ5KAiFO++8wZJK2rwrh2Yd5LP+smStJoij42sYALLA9WPdeiSaoxpbjmpYBUQAoDUYdqLnRWOnQds0O1EO5h1PXGSIt9feZpwNbPzTfHL80q2SI1A7qRzfZ6BzA2jZU4BLCv2YhKCcWo3kfbU=
;{id = 1336 (ksk), size = 2048b}

La KSK de .re

re.     3600    IN      DNSKEY  257 3 8
AwEAAajCmbZgQHhdh2O2CNV4akXVEraLgnTRWeK4HxIxDGlP7stUIip5E8ND08TCFea6JcHklmR6mShrTYEMmVAAB5+qFBDbTSKzpUdYHWnTl+4QyxX5WG3OWRXseaaKBnFw44fnRLCiUCnBmUK0Hdy71nWgQfY/378YSFpCAiRbNOX38LSHDVR+eZFjIw3mdL4i0JqVZL8bEwaaFEivw2Oavfeuy+wCg1VcTxLP5+YS9wLbeNvF4G0SzF/qZ8YOPQIywA6MwDjHSWF9eL0iceVBBlDpiGZp20QodzP2Pe3g4VRBmObUGEu1n4e1TEomytTfxAe7xpmsK9dmYpYXRB4edhk=
;{id = 45706 (ksk), size = 2048b}
Le service des opérations

La Chine veut connaitre l’identité des utilisateurs mobiles

Après les éditeurs de sites Internet, la Chine exige de connaitre l’identité des utilisateurs mobiles chinois. À partir de septembre, les opérateurs vont devoir enregistrer correctement les nouveaux abonnés pour parvenir d’ici trois ans à un recensement complet des mobinautes. Officiellement pour les préserver des contenus malsains.

En matière de surveillance du net, la Chine est incontestablement l’un des pays les plus en pointe dans ce domaine. Pour assurer le contrôle du réseau, le gouvernement chinois a soutenu la mise en place de la Grande Muraille virtuelle pour filtrer les contenus étrangers. De plus, les moteurs de recherche sont soumis à des règlements draconiens pour éviter de retourner des contenus « inadaptés » aux internautes chinois.

Mais le contrôle d’Internet ne concerne pas uniquement les réseaux filaires. Il touche également les réseaux de téléphonie mobile. D’après IT World, les opérateurs mobiles chinois vont commencer ce mois-ci à réclamer la véritable identité des nouveaux abonnés. Dans le cas contraire, ces derniers ne pourront pas souscrire à un abonnement mobile.

Si les opérateurs locaux enregistrent déjà certaines informations lorsqu’un nouveau compte est ouvert, les analystes estiment que de nombreux Chinois préfèrent passer par les téléphones prépayés qui ne nécessitent pas d’identification particulière. Avec plus de 800 millions de mobinautes recensés en Chine, cela peut représenter une part importante de personnes échappant partiellement au contrôle du web chinois.

Officiellement, ce changement s’inscrit dans la politique de sécurisation du web, afin d’éviter la propagation de contenus malsains. La pornographie est par exemple l’une des justifications les plus souvent brandies par les autorités. Mais bien souvent, il s’agit d’un prétexte pour censurer des contenus gênants pour le pouvoir ou pour mettre fin à des sites illicites.

Pour l’heure, seuls les nouveaux abonnés seront concernés par cette nouvelle politique. Cependant, les opérateurs télécoms devront d’ici trois ans avoir enregistré l’identité de tous les utilisateurs existants. Un vrai défi, dans la mesure où le nombre de mobinautes chinois aura très certainement dépassé le milliard.

Ce n’est pas la première fois que la Chine fait de l’identification des personnes un préalable pour accéder à un service. En début d’année, le ministère chinois des technologies avait exigé que tout déposant d’un nom de domaine administré en Chine devait se présenter en personne devant les autorités de contrôle.

Source: Numerama

L’ICANN a activé DNSSEC sur les serveurs de noms Internet, le .fr basculera le 14 septembre

L’Internet Corporation for Assigned Names and Numbers (ICANN) a profité de la conférence Black Hat pour annoncer qu’elle a achevé le déploiement du protocole Domain Name System Security Extensions (DNSSEC) sur l’ensemble des serveurs de noms situé à la racine d’Internet.

Avec  DNSSEC, l’ICANN entend protéger la sécurité du système de noms de domaines. DNSSEC combine le protocole DNS avec l’usage de la cryptographie à clé publique afin d’assurer la validité des adresses retournées par les serveurs root et de prévenir la redirection des usagers du réseau vers des sites web maicieux. Typiquement l’objectif de DNSSEC et de prémunir le système de nommage de tout tentative d’empoisonnement, mais aussi d’attaques de type « man in the middle », où un tiers s’insère frauduleusement entre le requérant et le serveur de nom racine.

Les serveurs racines des principaux top domains Internet (.com, .net, .org…) ainsi que le .uk sont déjà signés avec DNSSEC. Selon l’AFNIC, l’association qui gère le nommage en France, le .fr et le .re de la Réunion basculeront le 14 septembre prochain.

Il est à noter que l’annonce de la mise en oeuvre de DNSSEC par l’ICANN intervient deux ans après que Dan Kaminsky, un chercheur en sécurité, ait dévoilé un important risque d’empoisonnement de cache DNS lors d’une présentation à Black Hat 2008.

Source: MagIT

Sécurité : l’ICANN se charge d’authentifier les sites Web

L’ICANN, associé à VeriSign, va déployer son système DNSSEC destiné à attribuer une signature numérique unique et cryptée à chaque adresse Web, afin d’éviter la création de faux sites Internet.

L’ICANN veut s’attacher à sécuriser la navigation des internautes. L’Internet Corporation for Assigned Names and Numbers, l’organisation en charge du nommage sur Internet et de la gestion des noms de domaines en .com, .org et .net, a mis au point un nouveau système fin d’éviter le détournement frauduleux de sites Web par des cyber-criminels.

Développé en collaboration avec le spécialiste de la sécurité VeriSign, l’ICANN a décidé de mettre en place le système DNSSEC (Domain Name System Security Extensions), qui se charge d’ajouter une signature numérique à la racine du DNS, permettant ainsi à chaque adresse d’être pourvue d’une identification cryptée unique prouvant que le nom de domaine est bien légitime.

Ce système DNSSEC de clé d’authentification chiffrée déployé par l’ICANN et VeriSign devrait ainsi empêcher des cyber-criminels de créer des sites clones, ressemblant pratiquement en tout point à un site Web officiel.

Ces faux sites Internet servent à mieux duper l’internaute, pour pourvoir par exemple lui dérober des informations personnelles, comme des données bancaires, ou l’inciter à télécharger des virus et autres malwares.

Comme le souligne Dan Kaminsky, un chercheur en sécurité qui avait dévoilé il y a deux ans l’existence d’une importante faille DNS, le déploiement de cette signature cryptée au niveau de la racine du DNS par l’ICANN pourrait permettre à des moteurs comme Google de rapidement s’assurer qu’un site Web, comme un service de banque en ligne, proposé dans les résultats de recherche est bien authentique et fiable.

Source: ITespresso.fr

Les sept clés de l’Internet sécurisé

WEB – Un nouveau système de sécurisation d’Internet ouvre de nouvelles perspectives à la sécurité sur le Web…

C’est la première fois, dans l’histoire d’Internet, qu’une telle sécurisation du Web est possible» s’enthousiasme Paul Kane, contacté par 20minutes.fr. Kane fait partie d’une équipe de scientifiques et d’ingénieurs qui travaillent depuis 10 ans avec l’Icann, l’agence américaine en charge de la gestion d’Internet et des noms de domaines, à l’élaboration d’un système de sécurisation des noms de domaines qui vient enfin de voir le jour.

Le système empêche les cyber-criminels d’utiliser de faux sites pour duper les internautes, si puissant que personne ne pourra plus jamais pirater un site sans que l’on s’en rende compte, si le site utilise ce nouveau système. «Aujourd’hui, le Web n’est pas sécurisé, explique Paul Kane. On estime à 8% des sites le nombre de sites pirates. Avec ce nouveau système par exemple, aucun pirate ne pourra jamais rediriger les internautes de 20minutes.fr vers un autre site frauduleux.»

Comment ça marche?

Le système, DNSSEC alloue aux sites une identification cryptée prouvant qu’ils sont légitimes ; il donne une signature au niveau de la racine du nom de domaine. DNSSEC va permettre de combattre deux types de piratage: l’empoisonnement du cache DNS et l’attaque par un tiers. L’empoisonnement du cache se produit lorsqu’une page sauvegardée pour un site Web par un internaute est détournée pour diriger l’internaute vers un faux site, qui a toutes les apparences du vrai. Une attaque par un tiers implique l’interception d’une communication Web entre deux personnes, ou un site et une personne; le tiers se fait passer pour l’un des deux.

Le système «Domain Name System Security Extensions» (DNSSEC) ajoute un code secret et spécifique à chaque adresse internet. Ainsi les applications utilisées couramment sur Internet pourront s’assurer qu’un site est bien celui qu’il prétend être.

Les sept fantastiques

Toute une série de plans de secours ont été mis en place pour le cas où une attaque pirate sur un site serait perpétrée. L’un d’eux est celui des clés. Sept personnes, de par le monde, dont Paul Kane, ont été choisies pour détenir des clés (sous forme de carte à puce) sur lesquels des codes sont inscrits. Si jamais un virus géant infiltrait Internet, brouillant le système mis en place, cinq de ces sept hommes devraient se retrouver, avec leur clé, dans un endroit tenu secret aux Etats-Unis, et réunir leurs codes respectifs pour retrouver le code originel et relancer le système. Si jamais quatre des porteurs de clé mourraient, ou les faisaient tomber dans les toilettes (on ne connaît pas le scénario puisque souvenez-vous, ce n’est pas un film de science-fiction mais la vraie vie), il y a des héros de rechange, auxquels l’Icann pourra faire appel.

Les détenteurs des clés de l’Internet sont en Grande-Bretagne, aux Etats-Unis, au Burkina Faso, à Trinidad et Tobago, au Canada, en Chine, et en République tchèque. Les sept fantastiques version 2.0 sont bien plus internationaux.

N.B. On peut lire ici ou là que les clés permettraient de relancer l’Internet mondial si une attaque le détruisait. «L’Internet ne s’arrêtera jamais de marcher» souligne Paul Kane. Et les clés sont vraiment cools et utiles, mais elles ne peuvent pas redémarrer le Web entier.

Charlotte Pudlowski
Source: 20minutes.fr

Internet: sécurité renforcée grâce à une meilleure identification des sites

L’agence américaine en charge de la gestion d’internet et des noms de domaines (Icann) a annoncé mercredi avoir mis au point une amélioration « essentielle » à la sécurité sur le web empêchant les cyber-criminels d’utiliser de faux sites pour duper les internautes. Développé en lien avec l’entreprise spécialisée dans la sécurité sur internet VeriSign et le département américain du Commerce, ce système alloue aux sites une identifications cryptée prouvant qu’ils sont légitimes. Il empêcherait ainsi l’existence de sites similaires à des sites reconnus mais qui incitent les internautes à télécharger des virus ou à révéler des données personnelles. « C’est à tous points de vue une évolution historique », a déclaré le directeur de l’Icann, Rod Beckstrom, lors de la présentation de cet outil à une conférence sur la sécurité à Las Vegas. « Cette sécurité améliore les choses pour toute personne utilisant un ordinateur et cela signifie beaucoup pour nous », a-t-il ajouté. Le système « Domain Name System Security Extensions » (DNSSEC) ajoute simplement un code secret et spécifique à chaque adresse internet. Ainsi les applications utilisées couramment sur internet pourront s’assurer qu’un site internet est bien celui qu’il prétend être, a expliqué Dan Kaminsky, un spécialiste de la sécurité virtuelle. Des moteurs de recherche comme Google pourraient par exemple être capables de dire si la page d’identification d’une banque en ligne est authentique. « Quand un client reçoit un mail d’une banque, il devrait être certain qu’il provient bien d’une banque », a souligné Dan Kaminsky. Le système développé par l’Icann « est un instrument dont nous avions besoin en tant qu’ingénieurs pour que cela devienne réalité ».

Source: Le Monde

Noms de domaines jetables : Nouvelle technique de spammers

Les techniques de bullet-proof hosting ou de DNS fast-flux utilisées par les spammers pour conserver actifs leurs sites web même sous le feu de la communauté sécurité seraient à mettre au placard.

Un défaut dans la cuirasse:
Ces deux techniques avaient cependant un défaut commun L’URL d’accès au site web restait la même. Il suffisait que le nom de domaine ou que l’URL entière soit listée dans une ou plusieurs bases de réputation et la navigation vers celle-ci était bloquée au niveau des navigateurs. Je vous rassure tout de suite Les hébergeurs complaisants et les techniques de redondance dynamique de serveurs de résolution de noms DNS restent bien présents dans l’arsenal des cybercriminels.

Un nom de domaine par jour:
Une solution très simple a été trouvée à ce défaut Utiliser un nom de domaine pendant un voir 2 jours maximum et en changer. C’est ce qui a été constaté par M86 Security Labs dans leur dernier rapport d’analyse PDF qui analyse les tendances et techniques des cybercriminels sur le 1er semestre 2010. Après avoir analysé les liens présents dans les mails de spam reçus sur une durée de 60 jours, près de 70pourcents des noms de domaines utilisés ne sont utilisés que durant une journée ou moins… Game-over pour les systèmes de filtrage d’URL off-line Leur conclusion est assez simple Tout système de filtrage basé sur l’analyse des noms de domaine doit fonctionner en temps-réel, car même une synchronisation quotidienne est devenue insuffisante.

Source: SecuObs via OrangeBusiness

Verisign s’inquiète des risques de sécurité

En juin dernier, nous apprenions que les dépôts de noms de domaines en .com et .net avaient augmenté. Ces douze derniers mois, 11 millions de nouveaux noms auraient été enregistrés pour franchir la barre des 193 millions. Occasion nous a alors été donnée de poser quelques questions à Ken Silva, le directeur technique de VeriSign, pour évoquer le côté technique de cette évolution.

Avec la hausse constante du nombre de domaines, sur quels acteurs du secteur l’attention doit être portée ?
Les registrars ont fait de nombreux efforts depuis deux ans, ils savent désormais ce que font les consommateurs. Dans ce sens, les FAI ont également compris quelles étaient les responsabilités de chacun. Le plus important des critères reste qu’il faut rendre les intrusions plus compliquées. En ce sens, les technologies de chiffrement sont très utiles.

Comment organiser la capacité de gestion des demandes de normes de domaine en repérant les fraudes ?
Il faut bien comprendre que les risques de sécurité augmentent plus rapidement que la hausse des noms de domaines. La question principale réside dans le fait que l’augmentation du nombre d’utilisateurs signifie que le nombre de points d’entrée est plus important pour un attaquant. Par conséquent, on peut estimer que les tentatives d’attaques seront plus nombreuses. Auparavant, les risques étaient moins nombreux car il y avait peu d’accès. De nos jours, il faut bien comprendre que la bande passante est souvent occupée par du mauvais contenu.

Quels sont les conseils à donner en matière de gestion de la mobilité et sur l’utilisation de nouveaux produits en entreprise. Comme l’iPad par exemple.
Nous avons monté le projet Apollo, une initiative qui vise à augmenter les capacités de gestion des demandes de normes de domaines en repérant au mieux les fraudes en questions. Concernant l’iPad, c’est un bon exemple de la tendance qui se dessine. Chaque entreprise doit bien comprendre qu’elle a déjà perdu le contrôle sur ses points d’accès. C’est pourquoi nous restons attachés à des technologies comme le certificat digital, l’OTP (One Time Password) ou le SSL.

Source: ClubicPro