DNSSEC

Le protocole DNSSEC

Lorsque la première architecture DNS a été déployée en 1983, l’objectif était qu’elle soit évolutive et qu’elle bénéficie d’une bonne répartition des ressources. La sécurité n’était pas une préoccupation. Au fil des ans, la sécurité de l'infrastructure DNS a acquis une importance grandissante car un certain nombre d'incidents spectaculaires se sont produits.

En 2003, dans son livre blanc intitulé "Stratégie nationale pour sécuriser le cyberespace", le gouvernement américain a identifié l’infrastructure DNS comme l’une des principales faiblesses du système. C'est ce qui a conduit au développement d'un certain nombre de propositions.

DNSSEC signifie Extensions de sécurité du Système de Nom de Domaine (Domain Name System Security Extensions). Cette initiative ajoute un certain nombre de règles de sécurité au système DNS existant ; elles ont été développées par un groupe de travail international appelé l'Internet Engineering Task Force (IETF). L'ICANN ainsi que les plus grands Registres adoptent ces règles de sécurité dans le cadre d'une harmonisation des pratiques.

En quoi le DNSSEC améliore-t-il la sécurité en ligne ?

Pour faire simple, le DNSSEC garantit que les données relatives aux adresses IP et aux noms de domaine proviennent d'une source vérifiée afin de mettre un terme aux attaques par redirection. Concrètement, l'intégrité du système DNS est assurée parce que les données délivrées par chaque serveur sont signées numériquement. Un serveur ou un navigateur interrogeant un nom de domaine peut ainsi vérifier l'intégrité des données à chaque niveau (".com", "nomdedomaine.com", "www.nomdedomaine.com"). S'il ne reçoit pas de réponse correctement signée, la connexion ne sera pas établie.

Actuellement un petit nombre de Registres ont déjà adopté le DNSSEC et NetNames prend en charge le DNSSEC pour tous les TLDs (Top level domain) qui l'utilisent ou l'utiliseront demain.