Comprendre à quoi sert le DNSSEC

Dernièrement il y a beaucoup de bruit qui a été fait concernant des attaques sur les infrastructures informatiques.

Par exemple:
Internet sous le coup d'une attaque inédite
Internet et ses noms de domaine sous le coup d’une attaque inédite
Internet sous le coup d’une attaque inédite
Internet et ses noms de domaine sous le coup d’une attaque de grande ampleur

Tout ces articles font référence à une prise de position de l’ICANN :
(version originale en anglais: ICANN Calls for Full DNSSEC Deployment, Promotes Community Collaboration to Protect the Internet )

Version traduite: (merci fsnet.ch)

LOS ANGELES — 21 février 2019 — L’Internet Corporation for Assigned Names and Numbers (ICANN) estime qu’il existe un risque permanent et important pour les éléments clés de l’infrastructure du système de noms de domaine (DNS).

Dans le contexte des rapports de plus en plus nombreux d’activités malveillantes ciblant l’infrastructure DNS, l’ICANN demande le déploiement complet des extensions DNSSEC (Domain Name System Security Extensions) pour tous les noms de domaine non sécurisés. L’organisation réaffirme également son engagement à s’engager dans des efforts de collaboration pour assurer la sécurité, la stabilité et la résilience des systèmes d’identification mondiaux de l’Internet.

En tant qu’une des nombreuses entités engagées dans la gestion décentralisée de l’Internet, l’ICANN est spécifiquement responsable de la coordination du niveau le plus élevé du DNS afin d’assurer son fonctionnement stable et sécurisé et sa capacité de résolution universelle.

Le 15 février 2019, en réponse aux informations faisant état d’attaques contre des éléments clés de l’infrastructure DNS, l’ICANN a proposé une liste de contrôle des précautions de sécurité recommandées aux membres de l’industrie des noms de domaine, aux registres, aux bureaux d’enregistrement, aux revendeurs et aux autres acteurs concernés, afin de protéger leurs systèmes, ceux de leurs clients et les informations accessibles via le DNS.

Les rapports publics indiquent qu’il existe un modèle d’attaques multiformes utilisant différentes méthodologies. Certaines attaques ciblent le DNS, dans lequel des modifications non autorisées sont apportées à la structure de délégation des noms de domaine, remplaçant les adresses des serveurs visés par les adresses des machines contrôlées par les attaquants. Ce type particulier d’attaque, qui cible le DNS, ne fonctionne que lorsque DNSSEC n’est pas utilisé. DNSSEC est une technologie mise au point pour se protéger contre de tels changements en “ signant “ numériquement les données pour en assurer la validité. Bien que DNSSEC ne puisse pas résoudre toutes les formes d’attaque contre le DNS, lorsqu’il est utilisé, une modification non autorisée des informations DNS peut être détectée et les utilisateurs ne peuvent pas être mal dirigés.

L’ICANN reconnaît depuis longtemps l’importance des DNSSEC et demande le déploiement complet de la technologie dans tous les domaines. Bien que cela ne résoudra pas les problèmes de sécurité d’Internet, il vise à garantir que les internautes atteignent leur destination en ligne souhaitée en aidant à prévenir les attaques dites “d’homme au milieu” lorsqu’un utilisateur est redirigé sans le savoir vers un site potentiellement malveillant. DNSSEC complète d’autres technologies, telles que Transport Layer Security (le plus souvent utilisé dans HTTPS) qui protègent la communication utilisateur/domaine final.

En tant que coordinateur du niveau le plus élevé du DNS, l’ICANN est en mesure d’aider à atténuer et à détecter les risques liés au DNS, et de faciliter les discussions clés avec ses partenaires. L’organisation estime que tous les membres de l’écosystème du système de noms de domaine doivent travailler ensemble pour produire de meilleurs outils et politiques afin de sécuriser le DNS et les autres opérations critiques de l’Internet. Pour faciliter ces efforts, l’ICANN planifie un événement pour la communauté Internet afin d’aborder la protection DNS : La première est une session ouverte lors de la prochaine réunion publique de l’ICANN64 qui se tiendra du 9 au 14 mars 2019 à Kobe, au Japon.

A propos de l’ICANN

La mission de CANN est d’aider à assurer la stabilité, la sécurité et l’unification de l’Internet mondial. Pour joindre une autre personne sur Internet, vous devez entrer une adresse — un nom ou un numéro — dans votre ordinateur ou autre appareil. Cette adresse doit être unique pour que les ordinateurs sachent où se trouver. L’ICANN aide à coordonner et à soutenir ces identificateurs uniques dans le monde entier. L’ICANN a été créée en 1998 en tant qu’organisation à but non lucratif avec une communauté de participants du monde entier.

En résumé:

Chaque adresse URL correspond à une adresse IP, et lorsqu’un internaute saisit l’adresse URL de votre site dans son navigateur Internet, il fait appel à un serveur DNS dont le rôle est de le rediriger sur l’adresse IP qui correspond au domaine saisi (techniquement, on parle de la résolution DNS).

Lorsque DNSSEC n’est pas activé sur votre nom de domaine, une personne malveillante pourrait déceler une faille dans un serveur DNS et modifier la correspondance entre votre nom de domaine et l’adresse IP de votre site par l’IP de son choix. Dans un tel cas de figure, l’internaute qui entrerait l’adresse URL de votre site serait alors renvoyé sur un autre site Web qui ne correspondrait pas au contenu de votre site Web.

DNSSEC permet de sécuriser l’authenticité de la réponse fournie par le serveur DNS et garantit ainsi aux internautes qu’ils consultent le site Web qu’ils souhaitent réellement voir. Si un hacker tentait de modifier l’adresse IP de votre nom de domaine dans un serveur DNS protégé par DNSSEC au moment de la résolution, ce dernier refuserait ainsi ses requêtes, car elles ne seraient pas authentifiées.

DNSSEC est donc une sécurité complémentaire au certificat SSL d’un site. DNSSEC garantit à l’internaute de se rendre sur le site qui correspond à l’adresse URL saisie, et le certificat SSL intervient ensuite pour chiffrer les échanges entre le navigateur Internet de l’internaute et le serveur Web du site qu’il visite.
Ref: https://www.infomaniak.com/fr/support/faq/2208/comprendre-a-quoi-sert-dnssec

La bonne nouvelle !

Tout les sites web proposé par l’association FairSocialNet a la fonction DNSSEC activée par défaut, pour diasporing.ch et tooting.ch par exemple.
Pas besoin de me croire sur parole, vous pouvez le vérifier vous meme en allant sur https://dnssec-debugger.verisignlabs.com/diasporing.ch et voir que tout est au vert.

Le mot de la fin

Si vous avez un site web, peut importe son importance, activer le DNSSEC et si votre hebergeur ne le propose pas, insister pour qu’il le mette à disposition, et si il ne le fait pas dans un délais raisonnable, changer d’hebergement, et comme moi aller chez Infomaniak!

Pour plus d’informations je vous invite à regarder la vidéo suivante (en anglais) https://youtu.be/DiP17hVLDS0