nos newsletters
Abonnez-vous à Micro Hebdo : 4,90 €/mois
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à la version digitale
Abonnez-vous à 01Business et Technologies : 19 €/mois
Le gouvernement américain veut sécuriser le protocole DNS
Face à l'insécurité des serveurs DNS, l'intérêt pour DNSSEC augmente. Le gouvernement américain veut l'implanter en moins de deux ans.
Le gouvernement américain ne prend pas à la légère l'insécurité inhérente du système DNS (Domain Name System), sur lequel est fondé l'adressage du réseau Internet. Durant cet été, la
méga-faille DNS a mis en lumière le niveau de risque encouru. Hasard du calendrier ou non, la semaine dernière, le gouvernement
américain a précisé dans un
mémo ses objectifs quant à la sécurisation de ses domaines Internet.
Le plan est assez ambitieux. L'Etat fédéral compte implanter le protocole DNSSEC au niveau du domaine .gov d'ici au mois de janvier 2009, avant de l'étendre à tous les autres sous-domaines (par exemple, usa.gov), d'ici à décembre 2009.
Cette annonce devrait générer quelques débats animés parmi les experts de sécurité, car la technologie est loin de faire l'unanimité.
Une signature chiffrée pour authentifier le serveur DNS
DNSSEC a été créé il y a dix ans pour éviter la corruption des données et l'usurpation d'identité au sein du système DNS. En effet, chaque navigation Internet fait intervenir des requêtes DNS pour traduire les noms des sites Web en
adresses IP. Cela se fait de manière récursive et hiérarchique : quand un serveur de nom d'un sous-domaine ne sait pas répondre, il se réfère aux serveurs du domaine supérieur qui fera de même. Pour un hacker, les
occasions d'intercepter les données et de les modifier sont donc nombreuses. DNSSEC propose d'assurer l'intégrité des informations fournies par l'ajout, à chaque échange, d'une signature chiffrée qui va authentifier le serveur de nom. Et le tour est
joué.
Seulement voilà, l'implémentation de DNSSEC est loin d'être simple. Tout d'abord, l'adjonction d'une signature chiffrée nécessite des paquets DNS de plus grande taille. Il faut donc utiliser le protocole Extended DNS.
' Mais seuls 40 % des "resolvers" [logiciels client pour la traduction DNS, NDLR] supportent actuellement EDNS ', explique Raphaël Marichez, consultant sécurité chez Hervé Schauer
Consultants.
Le ticket d'entrée est élevé
La signature fait également augmenter sensiblement le trafic réseau et ajoute des temps de calcul. Par ailleurs, DNSSEC suppose la mise en place d'une véritable architecture PKI, ce qui est complexe et coûteux. Enfin, pour que la
sécurité soit vraiment assurée, il faudrait installer la technologie dans tous les pays et à tous les niveaux, du serveur DNS dans l'entreprise aux serveurs racines.
Ces différents obstacles expliquent pourquoi, en l'espace d'une décennie,
les déploiements DNSSEC sont encore peu nombreux. A ce jour, seuls quatre pays ont implanté ce protocole de sécurité : la Suède, la Bulgarie, le Brésil et Porto Rico.
' D'un point de vue économique, le déploiement de DNSSEC à grande échelle ne se justifie pas ', poursuit Raphaël Marichez.
Dans le cas du gouvernement américain, il y a tout de même un intérêt limité. Le fait d'équiper tous les systèmes d'information gouvernementaux permettra de sécuriser au moins les échanges inter-agences. Mais sorti de là, Internet
restera toujours une jungle informatique.
envoyer
par mail
par mail
imprimer
l'article
l'article
Actu précédente
Avis
de
AZWIL
, posté le 29 aout 2008 à 19h56
Bonsoir
Etudiant en réseau informatique que je sois trouve juste cette idée en matière de sécurité pour l'intégrité de son territoire. La sécurité des prsonnes et des biens est très menacée aujourd'hui. Je l'encourage.
Etudiant en réseau informatique que je sois trouve juste cette idée en matière de sécurité pour l'intégrité de son territoire. La sécurité des prsonnes et des biens est très menacée aujourd'hui. Je l'encourage.
alerter le modérateur
trop lourd
de
yureknon
, posté le 29 aout 2008 à 21h55
La mise en place de l'architecture PKI est bien sur un gage de sécurité, mais il ne fera que cacher d'éventuels bugs du protocole DNS. Donc cacher l'execution du protocole est inutile. Par analogie on pourrait dire au boulanger que l'on veut un pain dans un langage crypté alors que ce n'est un secret pour personne : on veut du pain et c'est tout !
C'est le protocole qui doit être contrôlé pour assuré une communication de bout en bout ( ce qui est presque le cas ) .
Si on en arrive a mettre un système de cryptage asymétrique pour tout et n'importe quoi, ce sera le bordels.
Et de toute manière a ce niveau si il y hacking, ce sera par des professionnels et personne ne pourra rien faire si les moyens sont fournis.
C'est le protocole qui doit être contrôlé pour assuré une communication de bout en bout ( ce qui est presque le cas ) .
Si on en arrive a mettre un système de cryptage asymétrique pour tout et n'importe quoi, ce sera le bordels.
Et de toute manière a ce niveau si il y hacking, ce sera par des professionnels et personne ne pourra rien faire si les moyens sont fournis.
alerter le modérateur
Erreurs
de
JoseRemy
, posté le 10 septembre 2008 à 16h47
DNSSEC ne fait pas appel à une infrastructure PKI a proprement parler (pas de certificats X.509) ni de validation distante par une clé privée. Le mécanisme de validation consiste à déclarer sa confiance dans la clé publique d'un (sous)domaine racine, ce qui est assez simple (la clé se récupère par une requête DNS).
En ce qui concerne l'augmentation de taille des paquets le service DNS va simplement utiliser TCP au lieu de UDP.
En gros il y bien un ralentissement, mais à l'époque du multimédia, rien de comparable avec de l'audio ou de la vidéo en ligne, c'est donc parfaitement supportable avec une machine dédiée.
DNSSEC marche très bien tout le monde devrait s'y mettre (on peut d'ailleurs commencer avant que le domaine racine s'y mette). Ceux qui trouvent cela compliqué peuvent changer de métier ! A quand un .fr en DNSSEC ?
En ce qui concerne l'augmentation de taille des paquets le service DNS va simplement utiliser TCP au lieu de UDP.
En gros il y bien un ralentissement, mais à l'époque du multimédia, rien de comparable avec de l'audio ou de la vidéo en ligne, c'est donc parfaitement supportable avec une machine dédiée.
DNSSEC marche très bien tout le monde devrait s'y mettre (on peut d'ailleurs commencer avant que le domaine racine s'y mette). Ceux qui trouvent cela compliqué peuvent changer de métier ! A quand un .fr en DNSSEC ?
alerter le modérateur
à lire aussi
SUR LES MÊMES THÈMES 
Nos partenaires