MODE DE FONCTIONNEMENT DU PROTOCOLE DNSSEC

L'IETF (Internet Engineering Task Force) travaille depuis plus de 15 ans au développement d'une norme utilisable pour le protocole DNSSEC (Domain Name System Security Extensions). Les DNSSEC protègent la communauté Internet des données DNS falsifiées en utilisant une cryptographie de clé publique pour apposer une signature numérique aux données de zone ayant autorité lorsqu'elles arrivent dans le système, puis en les validant lorsqu'elles arrivent à destination. Pour en savoir plus sur la cryptographie à clé publique.


La signature numérique garantit aux utilisateurs que les données proviennent effectivement de la source spécifiée et qu'elles n'ont pas été modifiées lors de leur transit. Les DNSSEC peuvent également établir si le nom de domaine n'existe pas. Ces fonctionnalités sont essentielles au maintien de la confiance sur Internet.

Dans les DNSSEC, chaque zone possède une paire de clés publique/privée. La clé publique de la zone est publiée à l'aide du DNS, alors que la clé privée de la zone est conservée en toute sécurité et parfaitement stockée hors ligne. La clé privée d'une zone signe les données DNS individuelles comprises dans cette zone, en créant des signatures numériques qui sont également publiées à l'aide du DNS.

Les DNSSEC utilisent un modèle de confiance rigide. Cette chaîne de confiance va d'une zone parent à une zone enfant. Les zones de niveau supérieur (parent) apposent leur signature (ou certifient) les zones de clé publique de niveau inférieur (enfant). Les serveurs de noms ayant autorité pour ces zones peuvent être gérés par des bureaux d'enregistrement, des fournisseurs d'accès à Internet (FAI), des entreprises d'hébergement Web ou les opérateurs de site Web (inscrivants) eux-mêmes.

Lorsqu'un utilisateur final souhaite accéder à un site Web, un stub au sein du système d'exploitation de l'utilisateur demande l'adresse IP du site Web à un serveur de noms récursif. Une fois que le serveur a demandé cet enregistrement, il demande également la clé DNSSEC associée à la zone. Cette clé permet au serveur de vérifier que l'enregistrement d'adresse IP qu'il reçoit est identique à l'enregistrement du serveur de noms ayant autorité.

Si le serveur de noms récursif détermine que l'enregistrement d'adresse a été envoyé par le serveur de noms ayant autorité et n'a pas été modifié durant le transit, il résout le nom de domaine, et l'utilisateur peut accéder au site. Ce processus est appelé validation. Si l'enregistrement d'adresse a été modifié ou n'est pas issu de la source déclarée, le serveur de noms récursif n'autorise pas l'utilisateur à accéder à l'adresse frauduleuse. Les DNSSEC peuvent également prouver qu'un nom de domaine n'existe pas. Grâce à ce processus, les requêtes et réponses du DNS sont protégées contre les attaques MITM et des falsifications susceptibles de rediriger les utilisateurs vers des sites de phishing et de pharming.