Loïc Damilaville (AFNIC) "Les risques de sécurité pouvant mettre en péril Internet sont nombreux"

Déni de service, empoisonnement de cache... L'Autorité gérant les noms de domaine de la zone .fr fait le point sur les risques de sécurité des serveurs DNS et distille ses préconisations.

JDN Solutions. Vous avez lancé une campagne visant à sensibiliser les registrars aux risques de sécurité. Quelles sont les attaques auxquelles ils doivent se préparer ?

Loïc Damilaville. Notre objectif est de faire comprendre à l'ensemble des acteurs gravitant autour du réseau Internet, ceux qui gèrent leurs propres serveurs de noms de domaine mais aussi plus largement toutes les entreprises disposant d'un réseau ouvert, que des attaques peuvent arriver.

En ligne de mire, l'idée est de contribuer au renforcement de la robustesse d'Internet. Nous avons observé en 2007 une importante attaque en déni de services sur les serveurs racines. Sur les 13 serveurs racines d'Internet, trois ont eu beaucoup de mal à répondre à cet assaut, les 10 autres ont tenu à peu près bien. Ce qui a permis au réseau de continuer à fonctionner sans que le problème ne devienne trop visible pour les internautes.

A ce premier grand type d'attaque, nous ajoutons les attaques dites sociales visant à duper les internautes pour leur subtiliser des données personnelles. En 2008, les clients de Network Solutions ont essuyé une telle campagne. Elle consiste à envoyer aux clients des messages soi-disant en provenance de leur registrar, leur demandant de confirmer leurs données de connexion. Les pirates peuvent ainsi faire leur course en matière de codes d'accès pour ensuite s'en prendre aux sites Web.

"L'empoisonnement de cache permet à un pirate de propager des virus"

Troisième catégorie d'attaque importante à prendre en compte, l'empoisonnement de cache permet à un pirate de propager des virus ou de fausses informations, en se faisant passer pour un serveur authentique. Cette technique repose sur la famille de failles des serveurs DNS dite Kaminsky. Au départ, on pensait que la probabilité d'exploitation de cette faille était faible, ce qui s'est révélé faux. Il est important de ne pas la négliger, même si les attaques sociales demandent il est vrai beaucoup moins d'effort pour être mises en œuvre.

Face à tous ces risques de sécurité, quelle est la démarche que vous préconisez ?

Concernant les attaques en déni de service, il est important d'afficher une bonne redondance. C'est assez classique. Pour les failles, il faut bien veiller à utiliser la dernière version des logiciels de DNS. Le plus connu d'entre eux est Bind. Il est actuellement en version 9. Les éditions précédentes souffrent de failles qui ont été publiées et documentées, et qui peuvent par conséquent être exploitées par des pirates.   

Un autre élément est de bien surveiller ses serveurs de noms de domaine, et de s'assurer de la qualité de leur configuration. Nous recommandons également de répartir les noms de domaine sur des réseaux d'opérateurs différents. Enfin, il est crucial que les différents acteurs apprennent à se parler. Il ne sert à rien qu'un registrar ou un opérateur corrige une faille dans son coin sans communiquer son expérience aux autres.

L'Afnic propose-t-elle des solutions de sécurité aux opérateurs de serveurs de noms de domaine ? 

Nous étudions la possibilité de déployer le protocole DNSSEC. Il permet aux serveurs de DNS de s'authentifier mutuellement. Ce dispositif permettrait par exemple d'éviter les empoisonnements de cache ou les attaques par injection SQL, en étant sûr que les requêtes viennent d'un bien serveur officiel. Mais DNSSEC est assez lourd à déployer. Le protocole implique la mise en place d'un système de clés d'authentification en arborescence, avec une clé de référence. Sa mise en place pour être efficace doit aussi être généralisée à l'ensemble des serveurs de noms de domaine en .fr. Ce n'est pas si simple.

Un projet de déploiement de DNSSEC a été tenté au sein de la zone suèdoise .se, mais avec beaucoup de difficulté. L'autorité de nommage en Suède peine à sensibiliser les acteurs locaux. La R&D de l'Afnic travaille néanmoins sur cette question, et étudie l'ensemble des besoins auxquels peut répondre DNSSEC, et les impacts de la mise en place d'un tel protocole.

Loïc Damilaville est Adjoint au Directeur de l'AFNIC.