Le projet Open Source vise à faciliter le DNS sécurisé

Un groupe de développeurs a publié un logiciel open source qui permet aux administrateurs de rendre le système d'adressage Internet moins vulnérable aux pirates.

Le logiciel OpenDNSSEC automatise de nombreuses tâches associé à la mise en œuvre DNSSEC (extensions de sécurité du système de noms de domaine), qui est un jeu de protocoles qui permet aux enregistrements DNS (Domain Name System) de porter une signature numérique, a déclaré John A. Dickinson, un consultant DNS travaillant sur le projet.

Les enregistrements DNS permettent de traduire les sites Web d'un nom en adresse IP (Internet Protocol), qui peut être interrogée par un ordinateur. Mais le système DNS a plusieurs failles datant de sa conception originale qui sont de plus en plus ciblées par les pirates.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

En falsifiant un serveur DNS, il est possible l'utilisateur doit taper le bon nom de site Web mais être dirigé vers un site frauduleux, un type d'attaque appelé empoisonnement du cache. C'est l'une des nombreuses préoccupations qui poussent les FAI et autres entités exécutant des serveurs DNS à utiliser DNSSEC.

Avec DNSSEC, les enregistrements DNS sont cryptographiquement signés, et ces signatures sont vérifiées pour s'assurer que les informations sont exactes. Selon Dickinson, l'adoption de DNSSEC est entravée par la complexité de la mise en œuvre et le manque d'outils plus simples.

Pour signer les enregistrements DNS, DNSSEC utilise la cryptographie à clé publique, où les signatures sont créées avec une clé publique et privée. et implémenté au niveau de la zone. Une partie du problème est la gestion de ces clés, car elles doivent être rafraîchies périodiquement pour maintenir un haut niveau de sécurité, a déclaré Dickinson. Une erreur dans la gestion de ces clés pourrait causer des problèmes majeurs, ce qui est un des défis pour les administrateurs. OpenDNSSEC permet aux administrateurs de créer des politiques, puis d'automatiser la gestion des clés et la signature des enregistrements. Le processus implique désormais plus d'interventions manuelles, ce qui augmente le risque d'erreurs.

OpenDNSSEC "veille à ce que la zone reste correctement et correctement signée conformément à la politique", a déclaré Dickinson. «Tout cela est complètement automatisé pour que l'administrateur puisse se concentrer sur le DNS et laisser la sécurité fonctionner en arrière-plan.»

Le logiciel dispose également d'une fonction de stockage des clés permettant aux administrateurs de conserver les clés dans un module matériel ou de sécurité M. Dickinson a déclaré:

Le logiciel OpenDNSSEC est disponible en téléchargement, bien qu'il soit proposé en tant qu'aperçu technologique et qu'il ne soit pas encore utilisé production, a déclaré Dickinson. Les développeurs vont recueillir des commentaires sur l'outil et publier des versions améliorées dans un proche avenir.

Au début de cette année, la plupart des domaines de premier niveau, tels que ceux qui se terminaient par ".com", n'étaient pas cryptographiquement signés. dans la zone racine du DNS, la liste maîtresse de l'endroit où les ordinateurs peuvent aller chercher une adresse dans un domaine particulier. VeriSign, qui est le registre de ".com", a déclaré en février qu'il implémenterait DNSSEC à travers les domaines de premier niveau, y compris le.com d'ici 2011.

D'autres organisations sont également en train d'utiliser DNSSEC. Le gouvernement américain s'est engagé à utiliser DNSSEC pour son domaine ".gov". D'autres opérateurs de ccTLD (domaines de premier niveau de code de pays) en Suède (.se), au Brésil (.br), à Porto Rico (.pr) et en Bulgarie (.bg) utilisent également DNSSEC.

Les experts en sécurité affirment que DNSSEC devrait être utilisé plus tôt que tard en raison des vulnérabilités existantes dans le DNS. L'un des plus sérieux a été révélé par le chercheur en sécurité Dan Kaminsky en juillet 2008. Il a montré que les serveurs DNS pouvaient être rapidement remplis avec des informations inexactes qui pouvaient être utilisées pour diverses attaques sur les systèmes de messagerie, les logiciels de mise à jour et les mots de passe. systèmes de récupération sur des sites Web.

Alors que des correctifs temporaires ont été déployés, ce n'est pas une solution à long terme car cela prend plus de temps pour effectuer une attaque, selon un livre blanc publié plus tôt cette année par SurfNet, une organisation néerlandaise de recherche et d'éducation. SurfNet est parmi les bailleurs de fonds d'OpenDNSSEC, qui inclut également le registre ".uk" Nominet, NLnet Labs et SIDN, le registre ".nl".

A moins que DNSSEC soit utilisé, "la faille de base dans le système de noms de domaine - Il n'y a aucun moyen de s'assurer que les réponses aux questions sont authentiques - reste, "le document a dit.