L’arrivée de DNSSEC et sa démocratisation ont permis de corriger de nombreuses faiblesses de DNS.
Qu’est-ce que le DNS et à quoi sert-il ?
Pour simplifier, le DNS est un système de résolution, de traduction entre noms de domaine et adresses IP.
Ce protocole est utilisé partout, tout le temps, sur tous les équipements possibles. Il nous permet de consulter un site sans avoir à connaître précisément l’adresse IP de la machine qui héberge le site. Il est aussi utilisé pour faciliter l’échange des données comme les emails par exemple. Il est donc une des pierres angulaires d’Internet.
Inventé dans les années 1980, ce protocole rencontre quelques faiblesses qui permettent à un attaquant initié d’usurper cette résolution et donc de renvoyer à un utilisateur une mauvaise adresse IP, donc à un mauvais serveur. Ce type d’attaque est essentiellement utilisé pour de l’espionnage industriel et de l’hameçonnage. En 2008 par exemple, un attaquant a piraté le cache des serveurs DNS de AT&T (FAI aux USA) et a redirigé de très nombreux utilisateurs vers un faux site Google.
Qu’est-ce que le DNSSEC, ce protocole étendu du DNS ?
Depuis 2010, l’arrivée de DNSSEC et sa démocratisation ont permis de corriger de nombreuses faiblesses de DNS.
Cet outil encore peu démocratisé est pourtant un levier important pour toutes les organisations qui souhaitent protéger leur nom de domaine.
Ce protocole fonctionne sur un principe de signature assez proche des certificats installés sur les sites Internet. Sa complexité apparente a largement contribué à une mise en place lente. Et seuls les grands acteurs d’Internet et les experts DNS pouvaient facilement le mettre en place.
Mais depuis quelques années maintenant ce n’est plus le cas. Son installation a été facilité par des outils pratiques et des intégrations dans de nombreux produits (Android, Windows, etc.). Des géants comme Google, Cloudflare ou Microsoft l’utilisent massivement dorénavant.
Pourquoi faut-il activer l’extension de sécurité DNSSEC ?
Par ce court billet au sein de son blog, Cyrès tient à rappeler son intérêt et son implication permanente dans la sécurisation des communications entre ses clients (site internet, emails, etc.) et leurs correspondants.
Aussi nous conseillons à nos clients disposant d’un contrat de service « DNS » de demander gratuitement l’activation de DNSSEC sur leurs domaines. Nous sommes bien sûr disponibles pour conseiller et répondre à vos questions concernant l’impact de cette mise en place.
Pour aller plus loin, vous pouvez consulter ces documentations complémentaires :
- Le site de l’AFNIC (réservation des noms de domaine en France)
- Le site Icaan.org pour en savoir plus sur le DNSSEC
- Le site de Zonemaster pour tester directement votre nom de domaine
- La carte du déploiement des DNSSEC par zone géographique : https://stats.labs.apnic.net/dnssec
Contactez-nous ici pour en savoir d’avantage