Le protocole DNSSEC : indispensable pour empêcher le piratage du DNS
Le DNS est souvent considéré comme un produit de base parmi d’autres, mais le service qu’il fournit sur Internet et dans les réseaux d’entreprise est d’une importance telle que la moindre interruption a des conséquences énormes.
Ces dernières semaines ont vu affluer de nombreuses informations sur le piratage du DNS et sur des attaques de grande ampleur ciblant des institutions. En conséquence, différents médias, allant des médias purement techniques aux médias grand public, ont donné des conseils à ce sujet. Toutefois, lorsque les médias tentent d’expliquer la question du piratage du DNS à leurs lecteurs, ils ont tendance à utiliser des raccourcis et, de ce fait, il arrive souvent que le lecteur ne comprenne pas bien cette question et l’incidence qu’elle peut avoir sur sa vie quotidienne.
Pas de DNS, pas de communication
Pour l’instant, gardons simplement à l’esprit que le service DNS est un pilier essentiel d’Internet et des réseaux d’entreprise. S’il ne fonctionne pas correctement, toutes les communications - privées ou publiques - sont impactées. En général, le piratage du DNS implique le vol d’informations, l’impact principal étant que l’utilisateur est connecté non pas au service souhaité, mais à un service factice. De fait, le DNS est indispensable aux entreprises et sa protection est essentielle pour assurer la sécurité des réseaux d’entreprise mondiaux.
Puisque le DNS est si important pour l’intégrité des données, pourquoi est-il négligé ?
Les attaques de piratage du DNS ciblent principalement deux niveaux du système : 1) le bureau d’enregistrement ("registrar", en anglais), qui contrôle le registre de noms de domaine, et 2) le serveur DNS, qui contrôle les enregistrements techniques. Les contre-mesures pour la sécurité du DNS, proposées par les spécialistes (mais pas toujours appliquées), sont pleinement justifiées. Elles comprennent des mots de passe forts sur les comptes du bureau d’enregistrement, la modification fréquente des mots de passe, une authentification à deux facteurs ou plus (2FA ou MFA) et bien sûr une supervision étroite de l’infrastructure, en particulier des entrées DNS et des certificats numériques X.509.
Cependant, l’une des recommandations les plus importantes concerne la configuration de l’activation du DNSSEC (DNS Security Extensions) sur les serveurs faisant autorité, sur tous les domaines, et sur les serveurs récursifs installés dans la plupart des organisations et chez les fournisseurs de services Internet. Le DNSSEC protège des attaques usuelles (par exemple, de celle appelée "faille Kaminsky") et garantit que les informations peuvent être validées comme n’ayant pas été modifiées entre le serveur et l’application de l’utilisateur. Bien que le DNSSEC soit reconnu dans le secteur comme un précieux outil pour améliorer la sécurité du DNS, il est actuellement mal déployé à tous les niveaux, notamment au niveau de l’entreprise (département informatique) et au niveau du propriétaire du domaine. Le DNSSEC existe depuis mars 2005 (ses spécifications sont publiées dans la RFC 4033 : "DNS Security Introduction and Requirements") ; alors, espérons-le, la multiplication récente des actes de piratage incitera la plupart des organisations à assumer rapidement leurs responsabilités en la matière afin de garantir l’intégrité des données.
Simplifier la gestion des clés pour accélérer l’adoption du DNSSEC
Le principal obstacle à l’activation du DNSSEC est que c’est une question complexe du point de vue technique et que, comme la plupart des questions de sécurité, il est difficile d’établir un lien direct avec le chiffre d’affaires et donc d’obtenir le financement du projet sur le budget de l’entreprise. Le DNSSEC peut aussi se révéler difficile à mettre en œuvre, du fait qu’il s’appuie principalement sur des méthodes d’authentification et des certificats, des mécanismes de clé publique, des expirations et une chaîne de certification. Il est donc impératif de faciliter la mise en œuvre du DNSSEC afin de le rendre plus attrayant et d’accélérer son déploiement. Simplifier la configuration et la gestion des clés est une première étape cruciale.
Des mesures doivent être prises dès maintenant afin de sécuriser les réseaux et Internet pour le bien de tous les utilisateurs.