Chaque utilisateur et chaque site sur le World Wide Web possède sa propre adresse IP. Cette dernière est unique et composée de plusieurs chiffres. Ce qu’on appelle un système de nom de domaine permet de convertir ces adresses IP numériques en noms de domaine pratiques à retenir et à écrire, comme IONOS.fr par exemple. Il est responsable de l’attribution des noms de domaine, ou résolution de noms, et est par conséquent un des services les plus importants de réseau basé sur les adresses IP. A partir des différents noms de serveurs (ou serveurs DNS) existants, il transforme des noms en toutes lettres en adresses IP et permet au client de créer le contact souhaité.
La communication entre système de nom de domaine et client vous épargne de forts risques en termes de sécurité : comme l’identité de l’expéditeur n’est pas vérifiée, le destinataire ne peut pas déterminer si la réponse DNS reçue vient vraiment du serveur interrogé. Si un agresseur se connecte entre le système de nom de domaine et le client, il peut envoyer la mauvaise adresse IP au destinataire. DNSSEC a été développé en 2011 pour éviter ce problème, et ce aussi pour les extensions .fr gérées par l’AFNIC.
Ce qu’on appelle Domain Name System Security Extensions (DNSSEC) désigne différents standards d’Internet qui complètent le système de nom de domaine avec une authentification des sources et qui garantissent l’authenticité et l’intégrité des données. Après que la version originale de DNSSEC de 1999 se soit révélée non adaptée aux plus grands réseaux, il a fallu attendre quelques années pour voir une extension de sécurité DNS apparaître en 2005 (dans les trois RFCs ou Requests for Comments : RFC 4033, RFC 4034 et RFC 4035) avant de devenir un nouveau standard. Cela a seulement commencé au niveau de la racine d’Internet en 2010 : 13 systèmes de nom de domaine à la racine ont été créés pour la dislocation des noms de domaine de premier niveau.
DNSSEC s’appuie sur un système de clé publique mais chiffrée, un procédé de chiffrement asymétrique avec lequel les parties impliquées n’échangent pas de clé secrète commune mais combinées (une clé publique avec une clé privée). On parle de couples de clés. Les unités d’informations DNS, ou liste des enregistrements DNS, sont munies d’une signature digitale via cette clé privée. A l’aide de la clé publique, cette signature est vérifiée par le Client et par conséquent, elle confirme l’authenticité de la source.
Votre propre domaine .fr !
Démarquez-vous avec un nom de domaine unique et une adresse email personnalisée !
SimpleSécuriséAssistance 24/7Chaque système de nom de domaine est responsable d’une zone précise. Vous trouverez une liste complète des enregistrements DNS dans le fichier des zones, où ces dernières sont décrites. Pour cette raison, tout système de nom de domaine possède sa propre clé de zone, avec laquelle il devient capable de protéger la liste d’enregistrements DNS. La clé publique de la clé de zone est intégrée au fichier de zones en tant que DNSKEY Resource Record (pour liste d’enregistrement DNS) et chaque unité d’information est signée. Les listes d’enregistrement RRSIG servent de complément à cet égard. Cette combinaison subsiste, peu importe si elle est stockée dans le cache ou transmise à un autre système de nom de domaine. Enfin elle atterrit sur le Client qui a effectué la demande, et qui peut effectuer une signature à l’aide d’un DNS resolver et valider une clé publique.
Pour faciliter la gestion des clés et créer une chaîne de confiance, il existe, en dehors des clés de zone, des clés de signature de clé à la syntaxe identique qui confirment l’authenticité de la clé de zone respective.
Les DNS Resolver sont des modules de logiciels d’un Client, qui chargent les informations du système de nom de domaine. La demande est faite soit itérativement soit récursivement. Dans le premier cas le Resolver reçoit l’information souhaitée ou un renvoi au système de nom de domaine le plus proche et procède de cette façon jusqu’à ce que l’adresse soit résolue. Les Resolver qui travaillent récursivement sont aussi appelés en anglais stub-Resolver et sont typiques pour les clients tels que les navigateurs Web par exemple : ils envoient une demande au système de nom de domaine dans le réseau local ou celui du fournisseur. Si l’information demandée n’est pas contenue dans l’ensemble des données, la dissolution complète de l’adresse reste la responsabilité du serveur qui envoie des demandes itératives.
Pour profiter du DNSSEC, un Resolver est nécessaire pour valider les informations supplémentaires. Dans ce but, le resolver doit être compatible avec les mécanismes d‘extensions de protocoles pour DNS (EDNS), car la validation ne peut être activée que dans l’en-tête DNS.
L’expansion de DNSSEC s’avère surtout difficile jusqu’à présent en raison de prérequis complexes : la technique doit non seulement être compatible avec les pages des fournisseurs, mais aussi avec celles des visiteurs. Les propriétaires de noms de domaine sont dépendants du fait que les bureaux d’enregistrement organisent et soient compatibles avec ce chiffrement. Les utilisateurs n’ont pas d’influence sur le fait qu’un site Web soit protégé ou non par des signatures DNSSEC. Ils ont de plus besoin d’un Resolver valide. Pour profiter de cela, vous devez exploiter votre propre Resolver, comme Bind par exemple, utiliser une extension de navigateur Web telle que DNSSEC Validator ou bien chercher un fournisseur qui contrôle les signatures DNSSEC. Il faut prendre en compte le fait que DNSSEC signe et authentifie seulement la résolution de noms de domaine, tandis que les données transmises ne sont pas protégées. Il est donc nécessaire de recourir à un protocole de communication servant au chiffrement des données échangées comme TLS. Les problèmes suivants ont de plus freiné la confiance des utilisateurs pour cette technique de sécurité DNS :
« Le serveur DNS ne répond pas » est un message d’erreur courant sous Windows. Si ce message apparaît lors du chargement d’une page Web, cela veut dire que votre connexion Internet est perturbée. Un tel problème peut avoir différentes origines. En dehors de problèmes de réseau réduisant l’accessibilité du serveur DNS, le routeur, le pare-feu Windows ou encore le navigateur peuvent être...
La grande problématique de l’ancien protocole IPv4 résidait dans le manque de sécurité des trois piliers suivants : la confidentialité, l’authenticité et l’intégrité. Ce protocole déplorait certains manques, tels que l’identification de la source de données ou encore la sécurisation de leur transport. La famille de protocole IPv6 a été développée pour y remédier.
Différents systèmes d’exploitation tels que Windows ou macOS enregistrent automatiquement les informations sur la résolution des adresses des systèmes et des applications du réseau dans un cache DNS. Le but de ce cache est d’accélérer le trafic réseau. Pourquoi est-il utile de régulièrement vider le cache DNS et comment fonctionne précisément un flush DNS sur Windows, Linux et autres ?
La gestion des adresses sur Internet est certes très complexe, mais elle est encadrée par les règles claires du Domain Name System. Ce système permet aux clients et aux serveurs de communiquer facilement entre eux. Il offre également la possibilité de faire une vérification du Reverse DNS, qui retourne le nom d’hôte de l’adresse IPv4 (ou IPv6) souhaitée. Notre article vous explique le...
Il existe une faille de sécurité importante dans le système de noms de domaines : de manière générale, les requêtes et les réponses sont transmises sans être chiffrées. C’est une véritable aubaine pour les cybercriminels, car il n’est pas rare que des internautes soient dirigés vers des sites Web qu’ils n’avaient pas du tout l’intention de visiter. Le DNS over TLS vient mettre un terme à cette...
Créez une adresse personnalisée