Vers une sécurisation du DNS ?

Véritable pierre angulaire des échanges sur Internet, le système DNS a, au cours de son existence, révélé plusieurs failles de sécurité aisément exploitables par des personnes mal intentionnées. Le déploiement progressif de DNSSEC sur les extensions les plus en usage pourra-t-il apporter une relative protection contre certaines attaques ? Explication par Stéphane Lesimple, responsable de l’équipe domaines chez OVH.

Élaboré au début des années 1980 afin de faciliter les échanges sur le Web, le DNS (pour Domain Name System) permet de retrouver l’adresse IP d’un site Internet à partir de son nom, ou de localiser l’endroit précis où envoyer un e-mail, par exemple. Mais, à cette époque, le DNS n’était utilisé que par un nombre restreint d’utilisateurs, bien loin des 2 milliards d’internautes actuels : sa sécurisation n’était par conséquent pas un élément crucial dans sa conception. Voilà pourquoi loin d’être infaillible, le DNS a montré sa vulnérabilité, comme l’explique Stéphane Lesimple : « Il n’existe pas, à aucun niveau du DNS, de moyens de vérification. C’est ce qui pose problème à l’heure actuelle : un pirate peut injecter de fausses informations dans le cache du DNS, et rediriger ainsi tous les usagers d’un même fournisseur d’accès à Internet vers un site erroné ; ou encore intercepter les requêtes et renvoyer de mauvaises réponses. Ces attaques peuvent s’avérer particulièrement dangereuses lorsqu’un client se connecte sur le site de sa banque, par exemple. »

Un outil pour sécuriser les réponses du DNS

Le Domaine Name System Security Extension, ou DNSSEC, a pour vocation de sécuriser et d’authentifier les réponses du DNS lors d’une requête. L’internaute sera ainsi assuré que la réponse à sa requête DNS, c’est-à-dire une adresse IP, provient effectivement de qui a autorité sur le domaine, mais aussi que cette réponse n’a pas été modifiée par une tierce personne.

DNSSEC est basé sur un système de clés : une clé privée gardée secrète signe des données, tandis qu’une clé publique, diffusée, permet d’en authentifier la provenance. Dans le cas d’une requête DNS sécurisée par DNSSEC, le système de signatures cryptographiques authentifie les réponses de chaque zone. En bref, les données du serveur racine sont signées par une clé, elle-même signée par une autre clé. Et il en est ainsi pour chaque zone du DNS.

À l’heure actuelle, la zone racine a déjà été signée, c’est désormais au tour des registres d’implémenter DNSSEC. Une opération qui peut prendre du temps, comme nous l’explique Stéphane Lesimple : « DNSSEC est assez lourd à mettre en place. En ce qui concerne la zone racine, le procédé est relativement aisé, il n’y a qu’un seul fichier à signer… Cela se complique au niveau des registres, puisqu’il existe par exemple un très grand nombre de domaines en « .eu ». Il est également nécessaire que les registres donnent la possibilité aux bureaux d’enregistrement de publier les informations dans leur zone. » À noter que de nombreux registres comme l’Afnic, l’Eurid ou encore Verisign, ont d’ores et déjà déployé DNSSEC. Son usage devrait pouvoir se généraliser sur de nombreuses extensions, à condition que les bureaux d’enregistrement facilitent le processus de déploiement pour leurs utilisateurs.

Pour aller plus loin

Retrouvez notre page explicative sur DNSSEC, ainsi que nos guides d'utilisation.