C’est quoi DNSSEC
DNSSEC est l’acronyme anglais de Domain Name System Security Extensions. DNSSEC est la version sécurisée de DNS. Il se base sur les signatures électroniques et prévient la compromission des requêtes DNS. Il assure les utilisateurs (machines, logiciel) de la légitimité de la source des informations DNS.
Le service DNS est analogue un annuaire téléphonique ou aux pages jaunes. Toute communication sur Internet commence par lui. C’est grâce à lui que les machines connaissent l’adresse IP de leur interlocuteur avant de transmettre les données. En bref, le système DNS effectue la correspondance entre un nom de domaine (un hôte) et une adresse IP. Malgré l’importance du DNS, la majorité des requêtes DNS ne sont pas sécurisées, elles circulent en toute transparence sur le réseau.
Comment fonctionne DNSSEC
Le service DNSSEC sécurise les communications DNS en vérifiant que le serveur autoritaire a le droit de fournir la réponse à une requête; la fiabilité du contenu de la réponse du serveur DNS; l’intégrité de cette réponse.
DNSSEC s’appuie sur les signatures numériques. Plus précisément sur une paire de clé privée et clé publique. La clé privée, comme son nom l’indique, sera conservée au niveau du serveur DNS. Elle servira à chiffrer les enregistrements DNS. La clé publique quant a elle sert à déchiffrer les informations chiffrées par la clé privée. Inscrite dans la zone DNS comme les autres enregistrements DNS, elle permet de valider une signature donnée avec le code privé. En vérifiant donc la correspondance entre les deux clés, on peut déterminer si une réponse provient bien d’un serveur légitime. DNSSEC se base sur une chaîne de confiance qui suit le même chemin qu’une résolution DNS. De ce fait, trois conditions doivent être remplies afin de pouvoir signer son domaine avec DNSSEC.
- Le domaine supérieur à votre nom de domaine doit signé. C’est notamment le cas de .com, .org , .net et de plusieurs domaines géographiques.
- Le bureau d’enregistrement responsable de votre nom de domaine doit supporter DNSSEC.
- Le gestionnaire DNS du nom de domaine doit aussi prendre en charge le protocole DNSSEC.
Pourquoi sécuriser son nom de domaine avec DNSSEC
Malgré l’importante du service DNS, beaucoup négligent sa sécurité et ignorent même les potentielles attaques. On peut citer l’empoisonnement de cache DNS, les attaques DDOS, l’interception de paquets. Nous allons élaborer l’empoisonnement de cache afin de mieux appréhender le risque de sécurité encouru. À travers l’empoisonnement de cache, le pirate fait croire à un serveur DNS qu’il a reçu une réponse valide à une requête qu’il a émise. Ainsi, il fournit une adresse IP erronée redirigeant vers un site de phishing par exemple. Si ce serveur DNS stocke cette information, toute personne qui s’en sert sera automatiquement redirigé vers ce site de phishing.
Par conséquent, protéger son nom de domaine avec DNSSEC se révèle être une nécessité pour les entreprises et leur marque. Généralement, les sites requièrent d’entrer des informations personnelles. C’est le cas par exemple des sites de e-commerce. Une attaque comme celle décrite plus haut serait désastreuse pour l’entreprise visée. En effet, elle endommagera la confiance qu’avait les visiteurs et ternira l’image de la marque. Le risque n’en vaut vraiment pas la chandelle. Pour la sécurité de votre nom de domaine, on recommande d’enregistrer son nom de domaine chez un hébergeur web prend en charge le protocole DNSSEC.