mardi 24 octobre 2017

Accueil du site > Informatique > Sécurité Informatique > Le gouvernement américain veut sécuriser le protocole DNS

Le gouvernement américain veut sécuriser le protocole DNS

Gilbert Kallenborn, 01net

vendredi 29 août 2008, sélectionné par Spyworld

logo

Face à l’insécurité des serveurs DNS, l’intérêt pour DNSSEC augmente. Le gouvernement américain veut l’implanter en moins de deux ans.

Le gouvernement américain ne prend pas à la légère l’insécurité inhérente du système DNS (Domain Name System), sur lequel est fondé l’adressage du réseau Internet. Durant cet été, la méga-faille DNS a mis en lumière le niveau de risque encouru. Hasard du calendrier ou non, la semaine dernière, le gouvernement américain a précisé dans un mémo ses objectifs quant à la sécurisation de ses domaines Internet.

Le plan est assez ambitieux. L’Etat fédéral compte implanter le protocole DNSSEC au niveau du domaine .gov d’ici au mois de janvier 2009, avant de l’étendre à tous les autres sous-domaines (par exemple, usa.gov), d’ici à décembre 2009. Cette annonce devrait générer quelques débats animés parmi les experts de sécurité, car la technologie est loin de faire l’unanimité.

Une signature chiffrée pour authentifier le serveur DNS

DNSSEC a été créé il y a dix ans pour éviter la corruption des données et l’usurpation d’identité au sein du système DNS. En effet, chaque navigation Internet fait intervenir des requêtes DNS pour traduire les noms des sites Web en adresses IP. Cela se fait de manière récursive et hiérarchique : quand un serveur de nom d’un sous-domaine ne sait pas répondre, il se réfère aux serveurs du domaine supérieur qui fera de même. Pour un hacker, les occasions d’intercepter les données et de les modifier sont donc nombreuses. DNSSEC propose d’assurer l’intégrité des informations fournies par l’ajout, à chaque échange, d’une signature chiffrée qui va authentifier le serveur de nom. Et le tour est joué. Seulement voilà, l’implémentation de DNSSEC est loin d’être simple. Tout d’abord, l’adjonction d’une signature chiffrée nécessite des paquets DNS de plus grande taille. Il faut donc utiliser le protocole Extended DNS. « Mais seuls 40 % des "resolvers" [logiciels client pour la traduction DNS, NDLR] supportent actuellement EDNS », explique Raphaël Marichez, consultant sécurité chez Hervé Schauer Consultants.

Le ticket d’entrée est élevé

La signature fait également augmenter sensiblement le trafic réseau et ajoute des temps de calcul. Par ailleurs, DNSSEC suppose la mise en place d’une véritable architecture PKI, ce qui est complexe et coûteux. Enfin, pour que la sécurité soit vraiment assurée, il faudrait installer la technologie dans tous les pays et à tous les niveaux, du serveur DNS dans l’entreprise aux serveurs racines.

Ces différents obstacles expliquent pourquoi, en l’espace d’une décennie, les déploiements DNSSEC sont encore peu nombreux. A ce jour, seuls quatre pays ont implanté ce protocole de sécurité : la Suède, la Bulgarie, le Brésil et Porto Rico. « D’un point de vue économique, le déploiement de DNSSEC à grande échelle ne se justifie pas », poursuit Raphaël Marichez.

Dans le cas du gouvernement américain, il y a tout de même un intérêt limité. Le fait d’équiper tous les systèmes d’information gouvernementaux permettra de sécuriser au moins les échanges inter-agences. Mais sorti de là, Internet restera toujours une jungle informatique.


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :