L'Afnic monte d'un cran la sécurité des .fr

En charge de la gestion des noms de domaine en .fr, l'association a entamé le déploiement du DNSSEC, un nouveau protocole résolvant un problème grave de sécurité DNS.

"Il y aura eu un avant et un après Kaminsky ", s'amuse à dire Mathieu Weill, directeur général de l'Afnic. Dan Kaminsky est ce chercheur en sécurité qui a publié en 2008 une faille de sécurité DNS permettant de détourner du trafic sur Internet, par empoisonnement de cache DNS. Un patch, pas totalement déployé, rend l'exploit plus complexe, mais toujours faisable.

La vraie parade est connue : elle s'appelle DNSSEC. Certes, les travaux de recherche s'y étaient bien intéressés avant la publication de la faille, mais cette dernière a accéléré le processus au niveau mondial.  Aujourd'hui, l'Afnic au nom du TLD .fr qu'elle gère, a déployé DNSSEC, l'extension de sécurité du protocole DNS (soit Domain Name System Security Extensions en anglais).

Cryptographique asymétrique

Concrètement, le protocole DNSSEC empêche le pirate de capter et détourner les requêtes pour compromettre le processus des résolutions de nom de domaine, et donc de rediriger les requêtes vers un serveur malveillant. DNSSEC veut donc certifier l'authenticité des réponses aux requêtes. Pour cette signature, elle fait appel aux mécanismes classiques de signature cryptographique asymétrique, avec des clés publiques donc. Le DNS devenant ainsi une PKI (Public Key Infrastructure).

Si l'Afnic a déployé aujourd'hui le protocole sur le .fr, cela ne suffit pas pour rehausser la sécurité de tous les échanges des sites Internet portant ce suffixe. En amont, la racine du DNS a elle-même signé le déploiement de DNSSEC en juillet dernier. Mais elle doit encore recevoir l'empreinte de la clé publique associée au .fr , ce qui est imminent. A la fin de cette année 2010, une vingtaine de TLD auront rejoint le mouvement mondial.

Chaîne de confiance

C'est en aval que c'est plus complexe. Le protocole doit être adopté par tous les hébergeurs et/ou registrars ainsi que par les FAI. En Suède, pays précurseur dans l'adoption du protocole, avoir proposé cette meilleure sécurisation en option payante n'a par exemple pas rencontré beaucoup de clients.

Le proposer gratuitement en standard pose aussi problème : la sécurité a toujours un coût, et certains voudront tout maîtriser et personnaliser (en termes de cryptage).

Les e-commerçants devraient néanmoins trouver leur intérêt : ce sont eux qui peuvent être les victimes de la faille. Cette sécurité les protége en effet d'une perte de trafic voire du vol de données confidentielles de leurs clients.

Selon les membres de l'Afnic, tous ces concernés en "aval " montreraient des signes d'intérêt. La balle est dans leur camp.