Skip to content

IP Twins

Home » Le déploiement du DNSSEC

Le déploiement du DNSSEC


À l’origine, le DNS a été conçu en ne tenant pas compte des insidieux problèmes de sécurité qui pouvaient se poser. Il en résulte des vulnérabilités, intrinsèques au DNS, qui favorisent des attaques de différents types. Il est légitime de craindre, en particulier, des attaques de type :

  • “Attaque de l’homme du milieu” (Man in the Middle Attack) ou “Attaque de l’intercepteur” ;
  • cache poisoning ; ou encore
  • déni de service.

En conséquence, les titulaires de noms de domaine peuvent être confrontés à des détourements de traffic, des soustractions frauduleuses de noms de domaine (domain name hijacking) ou encore du phishing. Quant aux internautes, ils sont également exposés à des ingérences criminelles puisqu’ils encourent le risque d’être redirigés vers des sites frauduleux, souvent bâtis de manière à soustraire leurs données (mots de passe, adresses e-mail, identifiants bancaires, etc.), par exemple en distribuant des logiciels malveillants.

La menace est telle que, le 15 février 2019, l’Internet Corporation for Assigned Names and Numbers (ICANN) a invité l’ensemble des acteurs du nommage (registres, registraires et autres) à la plus grande vigilance. L’ICANN est l’institution internationale, tentaculaire, dont la vocation est de maintenir la sécurité, la stabilité et l’interopérabilité de l’Internet. Autrement dit, l’ICANN est l’organe de gouvernance du système de nommage qui structure l’Internet. En tête des précautions de sécurité à adopter d’urgence, l’ICANN exhorte les registres et les registraires à déployer la technologie DNSSECDomain Name System Security Extensions »). Quant aux premiers concernés, les titulaires de noms de domaine, il leur est vivement conseillé de migrer vers des bureaux d’enregistrement de noms de domaine qui offrent le protocole DNSSEC. Pour l’ICANN, ces mesures doivent être prises dans l’immédiat.

Le protocole DNSSEC, qui a été standardisé par l’Internet Engineering Task Force (IETF), permet de palier, pour une grande part mais pas à 100%, les vulnérabilités du DNS. La technologie DNSSEC consiste dans un processus de validation (appelé “DNSSEC Signed”) aux niveaux de la racine (gérée par l’ICANN), de l’extension (gérée par le registre) et du nom de domaine (géré par le bureau d’enregistrement). Au bout du compte, ce processus génère une chaîne d’authentification. La chaîne de confiance qui en résulte améliore grandement la sécurité des données et, corrélativement, réduit significativement les risques d’actes de malveillance. Par extension, on dit d’un registre ou d’un registraire qu’il est signé lorsqu’il s’est agrémenté de la technologie DNSSEC. Une adoption du DNSSEC à grande échelle peut sensiblement améliorer la robustesse du DNS.

Cependant, le déploiement du DNSSEC demeure relativement faible, ce malgré les efforts considérables et permanents de l’ICANN Security and Stability Advisory Committee (SSAC), du Registry Internet Safety Group (RISG), des Computer Emergency Response Teams (CERTs) et de l’Internet Society Deploy360, autant d’organes qui en font la promotion, notamment à travers des campagnes de sensibilisation et de formation.

Au niveau des domaines de second niveau (SLD), chacun s’accorde pour affirmer qu’il est très difficile d’obtenir des statistiques qui établiraient, de manière fiable, le pourcentage de noms de domaine sécurisés par le protocole DNSSEC (v. not. ISOC, State of DNSSEC Deployment 2016, Dec. 2016, p. 17). Il faut retenir que tous les bureaux d’enregistrements ne sont pas dotés de la technologie DNSSEC. À ce jour, le SSAC recommande de ne pas divulguer les noms des bureaux d’enregistrement qui ne fournissent pas le DNSSEC de manière systématique. Cependant, le SSAC n’exclut pas cette possibilité pour le futur :

We do not, at this time, recommend whether registrars’ names be published or not” (ICANN, Advisory from the ICANN Security and Stability Advisory Committee, SAC074, 3 Nov. 2015, Recommendation 1, p. 4).

Dans une étude incontournable parue en 2017, un groupe de chercheurs mené par Taejoong Chung est arrivé à la conclusion selon laquelle « la prise en charge de DNSSEC [était] assez faible parmi les bureaux d’enregistrement les plus populaires » (T. Chung et al., 2017. Understanding the Role of Registrars in DNSSEC Deployment. In Proceedings of IMC ’17, London, United Kingdom, November 1–3, 2017, 14 pages, see para. Summary 5.3).

À ce jour, le contrat liant l’ICANN aux bureaux d’enregistrement de noms de domaine (2013 Registrar Accreditation Agreement, “2013 RAA”) n’imposent pas à ces derniers de se munir du protocole DNSSEC. À tout le moins, l’article 3.20 les oblige à notifier l’ICANN de tout incident de sécurité. Cependant, il résulte de l’annexe au 2013 RAA intitulé “Additional Registrar Operation Specification” qu’un bureau d’enregistrement doit autoriser ses clients à utiliser DNSSEC sur simple demande.

Au niveau des TLDs, depuis 2012, l’ICANN oblige tous les registres de gTLDs à intégrer le protocole DNSSEC. Cette obligation ne s’applique pas aux gTLDs créés avant 2012, mais hormis le .AERO, il n’existe pas de gTLD qui ne soit pas sécurisé par la technologie DNSSEC. En réalité, ce sont les ccTLDs qui suscitent l’inquiétude. En effet, nombreux sont les registres de ccTLDs qui n’ont pas encore adopté le protocole DNSSEC. Deux principales raisons peuvent expliquer ce retard : la complexité de la technologie et son coût. Selon l’ICANN, 1398 des 1532 extensions sont signées, ce dont il résulte que 134 ne le sont pas (soit près de 50% des ccTDs), parmi lesquelles les suivantes:

[table “29” not found /]

Source : ICANN.ORG — http://stats.research.icann.org/dns/tld_report/

On remarque que les extensions non-signées sont, à l’exception de quelques unes, des ccTLDs d’États bénéficiant de ressources limitées. L’absence de mise en œuvre de la technologie DNSSEC résulterait donc principalement d’un manque de moyens financiers. Malgré tout, des programmes sont en cours, comme en atteste la carte de l’Internet Society Deploy360 (qui est mise à jour de manière périodique) :


Source : ISOC Deploy360, https://www.internetsociety.org/deploy360/dnssec/maps/


Cependant, il faut ajouter que de nombreux fournisseurs d’accès à l’Internet ont recours au Google’s Public DNS service (PDNS). Comme Google PDNS prend en charge la validation DNSSEC, les utilisateurs ont de facto accès à la validation DNSSEC (v. not. ISOC, State of DNSSEC Deployment 2016, Dec. 2016, p. 8). Or c’est notamment le cas dans certains pays d’Afrique.

Enfin, nous ne pourrions pas terminer cette série de statistiques sans faire référence aux données de l’Asia Pacific Network Information Centre (APNIC) qui prennent en considération « le nombre relatif d’internautes dans chaque pays qui ont été observés comme effectuant une validation DNSSEC lors de la résolution de noms de domaine » (Geoff Huston, « Some Internet Measurements », labs.apnic.net, 24 Jul. 2014). Les résultats de l’APNIC nous enseignent qu’au niveau mondial, il existe moins de 20% de validations DNSSEC.


Source : APINC Labs — https://stats.labs.apnic.net/dnssec


Il reste la question de l’incitation. Sur ce point, une étude a démontré que des mécanismes financiers, accompagnés d’une assistance technique, peuvent encourager des bureaux d’enregistrement à signer des noms de domaine (T. Chung et al., 2017. Understanding the Role of Registrars in DNSSEC Deployment. In Proceedings of IMC ’17, London, United Kingdom, November 1–3, 2017, 14 pages, see para. Summary 6.3). À l’échelle globale, des mécanismes d’incitation de nature financière mériteraient d’être mis en œuvre à tous les niveaux de la gouvernance Internet.