Qu'est-ce que la sécurité DNS?
Les extensions de sécurité DNS (Domain Name System) (DNSSEC) constituent un moyen de protéger Internet et ses utilisateurs contre d'éventuelles attaques susceptibles de désactiver ou d'entraver l'accès aux services de dénomination essentiels sur Internet. Les extensions de sécurité permettent aux serveurs DNS de continuer à fournir leurs fonctions de traduction d'adresses IP (protocole Internet), mais avec la possibilité supplémentaire que les serveurs DNS s'authentifient en créant une série de relations de confiance. Grâce aux extensions, les données partagées entre les serveurs DNS atteignent également un niveau d'intégrité normalement difficile vis-à-vis du protocole existant par lequel les données sont transférées.
À l'origine, le DNS était créé en tant que distribution publique non sécurisée de noms et des adresses IP associées. Au fur et à mesure de la croissance d'Internet, un certain nombre de problèmes sont apparus liés à la sécurité, à la confidentialité et à l'intégrité des données DNS. En ce qui concerne les problèmes de confidentialité, le problème a été traité très tôt par une configuration appropriée des serveurs DNS. Néanmoins, il est possible qu'un serveur DNS soit soumis à un certain nombre d'attaques différentes, telles que les attaques par déni de service distribué (DDoS) et les attaques par débordement de mémoire tampon, qui peuvent affecter tout type de serveur. Cependant, le problème de certaines sources externes empoisonnant les données en introduisant de fausses informations est spécifique au DNS.
DNSSEC a été développé par le groupe de travail d'ingénierie Internet (IETF) et détaillé dans plusieurs documents de demande de commentaires (RFC) 4033 à 4035. Ces documents décrivent la sécurité DNS comme pouvant être atteinte grâce à l'utilisation de techniques d'authentification à clé publique. Pour alléger le traitement sur les serveurs DNS, seules les techniques d'authentification sont utilisées, et non le cryptage.
DNSSEC fonctionne via la création de relations de confiance entre les différents niveaux de la hiérarchie DNS. Au niveau supérieur, le domaine racine du DNS est établi en tant qu'intermédiaire principal entre les domaines inférieurs, tels que .com, .org, etc. Les sous-domaines se tournent ensuite vers le domaine racine, agissant en tant que tierce partie de confiance, pour valider la crédibilité des autres afin qu'ils puissent partager des données DNS exactes les uns avec les autres.
Un problème qui apparaît à la suite des méthodes décrites dans les RFC est appelé énumération de zone. Il devient possible pour une source externe d'apprendre l'identité de chaque ordinateur nommé sur un réseau. Une controverse est apparue avec la sécurité DNS et le problème de dénombrement de zone car même si le DNS n’était pas conçu à l’origine pour la confidentialité, diverses obligations légales et gouvernementales exigent que les données restent confidentielles. Un protocole supplémentaire, décrit dans le document RFC 5155, décrit un moyen d'implémenter des enregistrements de ressources supplémentaires dans le DNS qui peut atténuer le problème, sans toutefois le supprimer complètement.
D'autres problèmes liés à la mise en œuvre de la sécurité DNS tournent autour de la compatibilité avec les systèmes plus anciens. Les protocoles implémentés doivent être universels et, par conséquent, compris par tous les ordinateurs, serveurs et clients, utilisant Internet. Depuis que DNSSEC est implémenté au moyen d’extensions logicielles vers le DNS, il est toutefois difficile d’obtenir les anciens systèmes correctement mis à jour afin de prendre en charge les nouvelles méthodes. Néanmoins, le déploiement des méthodes DNSSEC a commencé au niveau racine à la fin de 2009 et au début de 2010, et de nombreux systèmes d’exploitation informatiques modernes sont équipés des extensions de sécurité DNS.