1. Quel problème règle le DNSSEC, l'extension sécurisée du DNS ?

On utilise le DNS (Domain Name System) pour traduire les adresses tapées par les internautes (exemple pro.01Net.com/editorial/521248/) en adresse IP de type 213.186.34.70. Un chercheur a toutefois démontré qu'il était facile de manipuler les enregistrements dans le cache des serveurs DNS, de falsifier les résultats de traduction des adresses et de renvoyer l'internaute vers un site escroc. Le DNSSEC a été conçu pour parer ce problème. Il est en cours de déploiement en France sur des domaines .fr et .re (l'extension réunionnaise).

2. Par quel processus sécurise-t-on le DNS ?

Désormais, les serveurs DNS devront s'authentifier avant d'établir une résolution d'adresse. L'objectif : construire une grande chaîne de confiance pour éviter que les pirates utilisent un jeu de clés frauduleux. Impossible désormais de s'immiscer au sein des échanges sans détenir la clé privée qui sera reconnue par la clé publique du serveur interrogé.

3. Combien de temps le déploiement va-t-il durer ?

Pour des raisons pratiques, un DNS qui n'aura pas été mis à jour pourra toujours effectuer sa requête, même si le DNSSEC n'a pas été déployé sur l'ensemble du réseau. Les opérateurs télécoms, fournisseurs d'accès et registrars devraient avoir terminé leur déploiement en 2012. Les serveurs racines, eux, seraient mis à jour avant la fin de l'année 2010. D'ici deux à trois ans, la technologie devrait être déployée sur 75 % des domaines .fr et .re. Mais il faudra compter encore dix à quinze ans pour qu'elle le soit sur les 25 % restants, qui concernent surtout des serveurs non identifiés et non maintenus. Une campagne sera menée auprès de ceux-ci pour les recenser et les sensibiliser.

4. Les entreprises devront-elles investir ?

Uniquement celles qui gèrent un DNS. Mais l'effort portera plus sur les compétences à acquérir que sur le matériel. La gestion des rotations de clés exige beaucoup de rigueur, et l'erreur n'est pas permise. C'est pourquoi l'Afnic recommande de bien se renseigner avant d'entamer une quelconque mise à jour. Voir à ce sujet la page 6 du document de l'association.

5. Le DNS est-il devenu invulnérable ?

DNSSEC est une réponse à la technique « d'empoisonnement » qui représente un véritable trou de sécurité. Mais il s'agit de rester vigilent, le protocole ne supprime pas toutes les vulnérabilités. Aujourd'hui, des millions de chercheurs s'activent pour inscrire leur nom dans l'histoire en découvrant une nouvelle vulnérabilité. Mais pour l'instant l'Internet Engineering Task Force n'a rien recensé de majeur.

L'explication de Stéphane Bortzmeyer, ingénieur à l'Afnic

DNSSEC repose sur quelques principes simples.

En premier lieu, on ne modifie pas le protocole DNS.

DNSSEC est une extension du DNS, pas un nouveau protocole, elle fonctionne au travers d'un cache non modifié. Un client non-DNSSEC est en mesure d'interagir avec un serveur DNSSEC (et réciproquement).

Ensuite, on utilise la cryptographie asymétrique pour signer les données DNS.

Cela signifie que DNSSEC protège de bout en bout. Les techniques de sécurité qui préservent le canal de communication (comme TLS pour SMTP ou, dans le cas du DNS, comme DNScurve10) se déploient en général plus simplement, mais ne s'avèrent pas fiables pas contre un intermédiaire qui ne l'est pas. Ainsi, avec SMTP sur TLS, si le courrier est relayé par un serveur de messagerie qui triche, par exemple en modifiant le message, TLS n'empêchera rien. Au contraire, PGP est une technique de sécurisation de bout en bout : même si un serveur intermédiaire triche, PGP permettra de détecter la modification du message. Contrairement à des techniques comme IPsec, DNSSEC aide donc à authentifier le message, même s'il est passé par des relais douteux.

Et pour finir, DNSSEC protège les données et non pas le canal.

DNSSEC garantit l'authenticité de l'origine, mais pas forcément la « véracité » du message. C'est une limite qui existait déjà dans le DNS : celui-ci ne permet pas d'affirmer qu'une information est « vraie ». Si l'administrateur système commet une faute de frappe et tape 19.0.2.1 comme adresse IP du serveur web, au lieu de 192.0.2.1, le DNS ne détecte pas l'erreur et sert la donnée « fausse ». De même, avec DNSSEC, si une base de données d'un bureau d'enregistrement n'est pas protégée contre l'injection SQL, l'attaquant pourra modifier cette base et DNSSEC n'y pourra rien, il intervient bien en aval.

Auteur : Stéphane Bellec, 01net.