Différences entre protocole DNS et protocole DNSSEC
Différences entre protocole DNS et protocole DNSSEC
Le DNS est un protocole large et général qui couvre un éventail de technologies et de solutions. Le DNSSEC fait partie de la sécurité du protocole DNS.
Qu’est-ce que le DNS ?
Le DNS (Domain Name System) est l’un des fondements de l’Internet. La plupart des internautes ne se rendent probablement pas compte qu’ils l’utilisent tous les jours pour travailler, consulter leurs e-mails ou perdre du temps sur le web. Dans sa forme la plus simple, le DNS est un répertoire de noms qui correspondent à des numéros. Les chiffres que les ordinateurs utilisent pour communiquer entre eux correspondent à des adresses IPs. On peut comparer le DNS à un annuaire téléphonique du web. Le répertoire DNS, qui associe le nom aux numéros, n’est pas situé au même endroit. Avec plus de 332 millions de noms de domaine répertoriés fin 2017, s’il existait un seul répertoire, il serait extrêmement vaste. Comme l’Internet lui-même, l’annuaire est distribué dans le monde entier, stocké sur des serveurs de noms de domaine (généralement appelés serveurs DNS) qui communiquent tous entre eux de manière très régulière.
Les problèmes de sécurité du DNS
Début 2019, le département de la sécurité intérieure des Etats-Unis a émis un avertissement urgent pour signaler un éventuel “détournement” du DNS. Le rapport décrivait en détail une tentative de piratage menée par un groupe de cyber-espionnage dont on pense qu’il opère depuis l’Iran et qui a manipulé les enregistrements DNS pour les domaines de sociétés privées et d’agences gouvernementales. L’avertissement soulignait qu’une des principales vulnérabilités de la sécurité du DNS était le manque de protection du processus de mise à jour des données. En raison de cette lacune, des attaquants malveillants ont pu accéder aux données du serveur DNS qui font autorité et modifier les enregistrements pour conduire les utilisateurs vers les mauvaises adresses IP.
L’amélioration du protocole avec le DNSSEC
L’amélioration du DNS la plus évidente est le DNSSEC qui est une solution standardisée pour ajouter aux réponses DNS une authentification. Cette authentification permet d’identifier l’expéditeur et l’intégrité du message. Le protocole DNSSEC ne patch pas tous les problèmes de sécurité associés au DNS mais il empêche certaines des attaques les plus dommageables de se produire, comme l’empoisonnement du cache. Il existe d’autres améliorations de protocole, telles que le DNS sur TCP et le DNS sur HTTPS, qui ajoutent la confidentialité des données en plus de la communication DNS. Il existe également des fonctionnalités telles que la zone de politique de réponse, qui modifie la manière dont les serveurs DNS récursifs répondent aux requêtes, afin d’empêcher les utilisateurs finaux de résoudre des noms de domaine malveillants connus.
