Une nouvelle toile de confiance

Un élément central d'Internet qui aide des millions de systèmes informatiques à se localiser les uns les autres bénéficie enfin d'une mise à niveau bien nécessaire. Le système de noms de domaine (DNS) fonctionne un peu comme l'annuaire téléphonique d'Internet, traduisant les URL que les utilisateurs saisissent dans un navigateur en adresses numériques utilisées pour identifier les serveurs qui hébergent le site demandé.





Récemment, ce système vieux de 30 ans a commencé à montrer son âge.

L'année dernière, une équipe de chercheurs en sécurité de haut niveau s'est précipitée pour réparer une faille critique dans le DNS qui a permis de détourner des communications légitimes, redirigeant potentiellement des internautes sans méfiance vers des pages Web malveillantes. Le patch proposé par l'équipe a réduit le danger immédiat, mais n'était pas censé être une solution permanente.

Pour une solution à long terme, de nombreux experts cherchent maintenant à DNSSEC , un protocole qui vérifie les messages DNS avec des signatures numériques. le Registre d'intérêt public , qui gère le domaine .org, implémente DNSSEC sur toutes les adresses Web se terminant par ce suffixe, et prévoit de terminer la première phase du processus au début de cette année. Le gouvernement américain s'est engagé à activer DNSSEC pour .gov aussi, et la nouvellement formée Coalition de l'industrie DNSSEC fait pression pour que le protocole soit adopté encore plus largement.



C'est en quelque sorte un revirement. Au cours des 14 années écoulées depuis la conception de DNSSEC, le protocole a eu du mal à être adopté à grande échelle, car il était considéré comme augmentant inutilement la complexité de la mise en œuvre du DNS. La clé de la faille DNS découverte l'année dernière est que le protocole a été conçu pendant une période de confiance et ne prend pas la peine d'authentifier les informations. Dan Kaminsky , directeur des tests d'intrusion chez IOActif , une société de sécurité basée à Seattle, s'est rendu compte que, si un attaquant pouvait se frayer un chemin dans une communication DNS, il pouvait rediriger le trafic Web de presque toutes les manières. Des fonctionnalités ont été ajoutées au DNS pour réduire le risque de piratage des messages, mais DNSSEC ajoute une véritable authentification au système pour la première fois.

Conseil Alexa , PDG du Public Interest Registry, note que quelqu'un devait être le premier à mettre en œuvre le nouveau protocole. Avant aujourd'hui, dit-elle, les organisations responsables des noms de domaine n'ont pas décidé d'intégrer DNSSEC parce qu'elles envoyaient des informations d'identification à des serveurs qui ne les écoutaient pas, ou qu'elles écoutaient des informations d'identification qui ne le feraient pas. Soyez là. Raad dit que le registre d'intérêt public a commencé à intégrer DNSSEC bien avant l'annonce de la faille de Kaminsky, dans l'espoir d'encourager l'adoption du protocole en donnant l'exemple. Les révélations de la faille de Kaminsky ont simplement contribué à intensifier le débat, dit-elle. Au cours des deux dernières années, une grande partie du débat autour du DNSSEC s'est concentrée sur : « En avons-nous besoin ? Existe-t-il d'autres technologies ? Dans quelle mesure est-ce viable ? » Je pense que le débat s'est complètement éloigné de cela. Nous comprenons tous que le DNS est en fait cassé. La seule solution pour cela est, en fait, DNSSEC. Le débat est maintenant : « Comment nous déployons-nous ? »

DNSSEC consiste à créer une chaîne de confiance, ajoute Ram Mohan , CTO de Afilias , qui a travaillé pour aider le Registre d'intérêt public à gérer son déploiement. Il existe de nombreux endroits où DNSSEC doit être activé pour que la chaîne de confiance circule sans interruption de l'utilisateur à un site Web. Une fois qu'un domaine de premier niveau (comme .org ou .com) implémente DNSSEC, tout site Web de ce domaine peut également choisir d'activer DNSSEC, ce qui est un maillon important de la chaîne. Étant donné que les fournisseurs de services Internet tels que Comcast ont commencé à prendre en charge DNSSEC, dit Mohan, il devient possible que certaines visites de sites Web tombent en grande partie sous la protection de DNSSEC.



Paul Vixie, président de la Consortium des systèmes Internet , qui gère BIND, le logiciel le plus couramment utilisé pour traiter les messages DNS, s'attend à ce que le passage à DNSSEC fasse boule de neige. Avec .gov et .org signés, il y a enfin un marché pour la technologie et les services DNSSEC, dit-il. Maintenant que d'autres mettent en œuvre DNSSEC, beaucoup d'autres voudront se lancer dans la fourniture de solutions DNSSEC, ce qui permettra à son tour à de nombreux utilisateurs de clôturer de descendre et de nous rejoindre.

Kaminsky lui-même était initialement neutre sur DNSSEC comme solution possible à la faille qu'il a découverte avec DNS. Il considère désormais DNSSEC comme une bonne solution, mais prévient qu'il reste encore du travail à faire pour l'aider à se développer. Plus important encore, dit-il : d'autres domaines racine, qui sont au cœur de toutes les transactions DNS, doivent utiliser DNSSEC. Bien que le DNS n'ait jamais été conçu pour être au cœur de l'authentification sur Internet, il l'est, et il est temps que nous commencions à le traiter de cette façon, ajoute Kaminsky.

Mohan dit qu'il espère que d'autres domaines implémenteront bientôt DNSSEC. Il est grand temps que le DNS soit plus sécurisé, dit-il. L'intégrité du trafic DNS commence à être remise en question avec l'avènement du phishing et des botnets et des trucs comme ça. Voici une chose concrète qui peut être faite et qui a fait ses preuves pour éliminer un problème évident.



cacher