mardi 24 juin 2014

DNSSEC et DANE Pour assurer notre sécurité sur Internet?

Les technologies de l'information ne cessent aujourd'hui d'être davantage présent au cœur de nos activités et quelques soit le domaine. Mieux le réseaux Internet reste l'interface par excellence pour les échanges de données, de transactions, de communications et interagir avec le monde extérieur sur les plans: économique, de travail, d'études, ect...
Vu l'importance qu'il occupe il est devenu la cible privilégiée de personnes mal intentionnées afin de rendre indisponible le service, dérouter le service, écouter et faire des modifications malveillantes de données.

Plusieurs communautés ce sont donc activées pour réfléchir à cette problématique. L'une des solutions pour réduire ou empêcher que les internautes soient victime d'hameçonnage sur Internet est le DNSSEC et le protocole DANE.




Qu'est-ce que le DNSSEC?

DNSSEC (« Domain Name System Security Extensions ») est un protocole standardisé par l'IETF permettant de résoudre certains problèmes de sécurité liés au protocole DNS. Les spécifications sont publiées dans la RFC 4033 et les suivantes (une version antérieure de DNSSEC n'a eu aucun succès).

DNSSEC permet de sécuriser les données envoyées par le DNS. Contrairement à d'autres protocoles comme SSL, il ne sécurise pas juste un canal de communication mais il protège les données, les enregistrements DNS, de bout en bout. Ainsi, il est efficace même lorsqu'un serveur intermédiaire trahit.
DNSSEC signe cryptographiquement les enregistrements DNS et met cette signature dans le DNS. Ainsi, un client DNS méfiant peut récupérer la signature et, s'il possède la clé du serveur, vérifier que les données sont correctes. La clé peut être récupérée via le DNS lui-même (ce qui pose un problème d'œuf et de poule) ou bien par un autre moyen (diffusée via le Web et signée avec PGP par exemple).

DNSSEC permet de déléguer des signatures : ainsi, le registre d'un domaine de premier niveau peut annoncer que tel sous-domaine est signé. On peut ainsi bâtir une chaîne de confiance depuis la racine du DNS.

DNSSEC introduit aussi ses propres problèmes, par exemple, le fait qu'un enregistrement spécial (NSEC, utilisé pour prouver la non-existence d'un enregistrement) indique le prochain domaine de la zone permettant d'énumérer le contenu complet d'une zone signée, même si le transfert de zone n'est pas permis. Ce problème fait que la plupart des TLD utilisent l'enregistrement NSEC3, qui n'a pas ce défaut.

Lien: http://fr.wikipedia.org/wiki/Domain_Name_System_Security_Extensions

Qu'est-ce que la protocole DANE

L'IETF (Internet Engineering Task Force) a proposé le protocole/mécanisme DANE (DNS - based Authentication of Named Entities) qui s’appuie sur le DNS pour authentifier des entités applicatives.

Cette démarche s'inscrit dans une logique de sécurisation des accès clients-serveurs en:
Sécurisant les requêtes DNS effectuées depuis les postes clients au travers des protocoles/mécanismes DNSEC et TLSA
Mieux sécuriser les accès chiffrés des clients vers le serveurs