Bien qu’il soit désormais disponible pour les 1195 extensions génériques existantes et qu’il protège contre le détournement de DNS, le DNSSEC est encore peu utilisé par les services informatiques des entreprises et des administrations. Pour quelle(s) raison(s) ? Quels sont les bénéfices mais aussi les freins liés à son déploiement ? Conseils et explications de Vincent CISEL, expert en DNS et CTO chez EURODNS / EBRAND France.
Le système de noms de domaine, dit DNS (Domain Name System), permet de « traduire » l’adresse IP, grâce à laquelle sont identifiées toutes les machines connectées à Internet, en une adresse alphanumérique plus facile à retenir. Chaque adresse IP (Internet Protocol) étant unique, chaque nom de domaine est lui aussi unique et la correspondance de l’un à l’autre peut s’établir dans les deux sens grâce à la « résolution DNS ». Celle-ci s’effectue à l’intérieur d’un serveur dédié à cette fonction, dit serveur DNS.
Cependant, sans protection adaptée, le système DNS est vulnérable et les cybercriminels profitent de cette fragilité pour s’introduire dans la chaîne et/ou détourner du « bon chemin » l’internaute qui souhaite accéder à un site. Ils utilisent notamment l’une ou l’autre des techniques de fraude suivantes :
-
L’EMPOISONNEMENT DU CACHE DNS OU « CACHE POISONING »
Revenons quelques années en arrière, lorsque le GPS n’existait pas. Imaginez qu’au carrefour de trois routes, un plaisantin se soit amusé à interchanger les panneaux indicateurs. Vous ne connaissez pas la région et, en toute confiance, vous empruntez la route sensée mener à la destination voulue. Évidemment, vous vous apercevez après quelques kilomètres que vous avez pris une mauvaise direction. Demi-tour! C’est ennuyeux, vous avez perdu du temps, mais rien de grave et vous avez peut-être découvert un lieu pittoresque. C’est loin d’être le cas lorsqu’un « empoisonnement du cache », appelé aussi « détournement de DNS », a perturbé votre navigation Web et vous a détourné de votre but, à savoir le site Internet que vous souhaitiez consulter.
Ce cache DNS, vous l’utilisez probablement sans le savoir : il s’agit d’une sorte de répertoire qui stocke temporairement (de quelques minutes à plusieurs semaines) les adresses IP correspondant aux noms de domaine des sites que vous visitez souvent et vous permet d’y accéder plus rapidement. En profitant de cet intervalle de temps où vos requêtes sont mémorisées dans le cache, les pirates peuvent remplacer une bonne adresse IP par une fausse, celle d’un site miroir par exemple, ou tout autre site piégé sur lequel vous êtes invité à vous identifier. Un tour de passe-passe indécelable puisque vous avez suivi le bon « panneau », comme dans l’exemple ci-dessus.
-
L’ATTAQUE DE L’HOMME DU MILIEU OU « MAN IN THE MIDDLE ATTACK »
« L’homme invisible » a fait des émules. Connu désormais sur le Net sous le nom d’homme du milieu, il s’immisce dans une communication à l’insu des intéressés. L’objectif est clair : il s’agit d’intercepter, de lire ou de manipuler toute communication entre un internaute (la victime) et le site auquel il souhaite se connecter. Les techniques utilisées par les pirates varient et sont basées le plus souvent sur les vulnérabilités des systèmes de communication : logiciel de navigation obsolète, accès WIFI corrompu, sans compter la manipulation des serveurs DNS. L’agresseur a toute latitude pour agir, personne n’ayant conscience de la présence d’un tiers avant que la victime ait constaté les dégâts causés par la fraude (vol de données confidentielles, de mots de passe, de coordonnées bancaires, etc.).
DNSSEC : LA SOLUTION ?
Le système DNS, en effet, a subi suffisamment d’attaques malveillantes pour que l’ICANN, l’autorité de régulation de l’Internet, s’en émeuve et exhorte les titulaires de noms de domaine à adopter DNSSEC (Domain Name System Security Extensions). Ce protocole a été standardisé par l’IETF (Internet Engineering Task Force) pour servir de rempart à des attaques telles que celles évoquées ci-dessus et offrir aux internautes une meilleure sécurité de navigation. Ce protocole vérifie les enregistrements DNS associés à un nom de domaine via un système de signature digitale afin garantir que les internautes ne sont pas dirigés vers un site trompeur. Pour cela, il valide les différents services d’annuaires appelés « chaînes de confiance » impliqués dans une recherche : celui du serveur DNS qui permet la traduction d’un nom de domaine en adresse IP (ancre de confiance), celui de l’extension .COM, .FR ou autre (serveur DNS racine) et le nom de domaine lui-même (signature cryptographique). Le processus de validation est appelé DNSSEC Signed et permet de lutter contre l’empoisonnement du cache et l’attaque de l’homme du milieu. En outre, il présente un véritable intérêt dans la lutte anti-phishing. En effet, le protocole mail étant un système permissif, tout peut être envoyé, email contrefait ou non. Charge au serveur de destination de faire le tri et de vérifier l’authenticité d’un email. Il est donc possible de configurer un serveur de réception email pour qu’il fasse appel à un serveur DNS récursif vérifiant la chaine de confiance. Ainsi celui-ci rejettera les messages utilisant des noms de domaine détournés ou non reconnus par le protocole DNSSEC.
LES FREINS : MYTHES OU RÉALITÉ ?
Si, en théorie, le DNSSEC apparaît comme une bonne protection contre le détournement de DNS, son activation peut cependant soulever deux questions majeures au sein des services informatiques :
1) Y a-t-il un risque de coupure de site ?
Non, sauf lors d’un transfert de nom de domaine où la tâche peut s’avérer particulièrement ardue s’il est protégé par le DNSSEC. La validation DNSSEC est basée sur une cryptographie asymétrique. Cela suppose l’existence d’une clé privée permettant la signature des enregistrements. Cette clé ne doit en aucun cas être divulguée sous peine de permettre à un attaquant de contrefaire les signatures. En fonction de la façon dont les serveurs DNS sont administrés, cette clé peut être partagée pour tous les domaines gérés par le serveur ou être unique par zone. Les techniques de cryptographie étant perpétuellement mises à l’épreuve, le protocole a été pensé pour permettre l’utilisation de différents algorithmes qui peuvent être plus ou moins robustes. Le DNS étant un réseau distribué, la migration d’un domaine avec DNSSEC vers un autre serveur DNS peut s’avérer être particulièrement complexe. En effet, en fonction de la situation, le roulement des clés DNSSEC d’un système vers un autre peut s’effectuer suivant les trois stratégies suivantes :
- soit les signatures RRSIG (Resource Record Sig) doivent être générées en utilisant la même clé ;
- soit deux signatures RRSIG doivent coexister ;
- soit deux clés publiques doivent être publiées sur la zone parente.
On peut aisément comprendre que si l’analyse de risque n’a pas été complète, un transfert d’un domaine protégé avec DNSSEC peut être la source d’une coupure de service. C’est la raison pour laquelle, dans cette situation nous recommandons une désactivation provisoire de DNSSEC.
2) Y a-t-il un risque de perte de trafic ?
Le taux de validation des signature DNSSEC qui permet l’évaluation de la pénétration du protocole DNSSEC est estimé aujourd’hui à 25%, et est inégalement réparti dans les différents pays du monde. Les pays scandinaves et d’Europe du Nord sont bons élèves avec des taux compris entre 80% et 95%. La France quant à elle est tout juste au-dessus de la moyenne avec 29%. Un nom de domaine DNSSEC mal configuré peut provoquer une perte de trafic dans les zones où la couverture est grande. Même bien configuré, dans certaines situations de migration, ou lors de l’utilisation de certains algorithmes, on peut rencontrer des serveurs DNS récursifs non mis à jour, ou mal configurés ne validant pas correctement les signatures. « Faut-il sacrifier un peu de trafic pour une meilleure sécurité », la question peut se poser ! Une évaluation bénéfices/risques doit donc être diligentée au sein de chaque entreprise.
CONSEIL D’EXPERT
Comme nous l’avons vu, DNSSEC peut générer des complications importantes pour l’activité en ligne. Nous conseillons donc la mise en place de DNSSEC pour les domaines-clés uniquement. La question à se poser n’est pas tant « Quel type de site Web doit être protégé ? » mais « Quelle est la conséquence pour mon activité et pour mes clients si je suis victime d’une usurpation ? »
L’activation de DNSSEC est donc évidente pour les banques, les sites web permettant la saisie d’un moyen de paiement, les services traitant des données personnelles ou permettant l’authentification d’un utilisateur. Les sites vitrines statiques (ou les redirections web) sont moins exposés. L’infrastructure DNS proposée en standard par EBRAND permet l’activation et la gestion automatisées des signatures DNSSEC, et ce directement depuis l’interface. Cependant, il ne faut pas considérer DNSSEC comme un rempart ultime, il s’agit d’une protection supplémentaire à activer sur les noms de domaines sensibles de votre entreprise, qui vous permettra d’élever le niveau global de sécurité de vos systèmes informatiques.
D’ailleurs, le 23 décembre 2020, l’ICANN a annoncé que le protocole DNSSEC était désormais déployé et opérationnel dans tous les domaines génériques de premier niveau (soit 1195 gTLDs).
Si vous souhaitez activer le DNSSEC où si vous avez des questions complémentaires, complétez le formulaire de contact ci-dessous.
Par Vincent CISEL, Raphael TESSIER et Sophie AUDOUSSET pour EBRAND France
