Page d'accueil » comment » Comment DNSSEC contribuera à sécuriser Internet et comment SOPA l'a presque rendu illégal

    Comment DNSSEC contribuera à sécuriser Internet et comment SOPA l'a presque rendu illégal

    Les extensions de sécurité du système de nom de domaine (DNSSEC) sont une technologie de sécurité qui aidera à corriger l'un des points faibles d'Internet. Nous sommes chanceux que SOPA n’ait pas réussi, car SOPA aurait rendu DNSSEC illégal..

    DNSSEC ajoute la sécurité critique à un endroit où Internet n'en a pas vraiment. Le système de nom de domaine (DNS) fonctionne bien, mais il n’ya aucune vérification à aucun moment du processus, ce qui laisse des trous pour les attaquants.

    La situation actuelle

    Nous avons expliqué comment le DNS fonctionne dans le passé. En résumé, chaque fois que vous vous connectez à un nom de domaine tel que «google.com» ou «howtogeek.com», votre ordinateur contacte son serveur DNS et recherche l'adresse IP associée à ce nom de domaine. Votre ordinateur se connecte ensuite à cette adresse IP.

    Fait important, il n'y a pas de processus de vérification impliqué dans une recherche DNS. Votre ordinateur demande à son serveur DNS l'adresse associée à un site Web. Le serveur DNS répond avec une adresse IP. Votre ordinateur dit «d'accord!» Et se connecte avec joie à ce site Web. Votre ordinateur ne s'arrête pas pour vérifier si c'est une réponse valide.

    Il est possible pour des attaquants de rediriger ces demandes DNS ou de configurer des serveurs DNS malveillants conçus pour renvoyer des réponses incorrectes. Par exemple, si vous êtes connecté à un réseau Wi-Fi public et que vous essayez de vous connecter à howtogeek.com, un serveur DNS malveillant situé sur ce réseau Wi-Fi public peut renvoyer entièrement une adresse IP différente. L'adresse IP peut vous mener à un site Web d'hameçonnage. Votre navigateur Web ne permet pas de vérifier si une adresse IP est réellement associée à howtogeek.com. il suffit de faire confiance à la réponse qu'il reçoit du serveur DNS.

    Le cryptage HTTPS fournit une vérification. Par exemple, supposons que vous essayez de vous connecter au site Web de votre banque et que HTTPS et l'icône de cadenas apparaissent dans votre barre d'adresse. Vous savez qu'une autorité de certification a vérifié que le site Web appartient à votre banque..

    Si vous avez accédé au site Web de votre banque à partir d'un point d'accès compromis et que le serveur DNS a renvoyé l'adresse d'un site de phishing frauduleux, le site de phishing ne pourrait pas afficher ce cryptage HTTPS. Cependant, le site de phishing peut choisir d'utiliser HTTP simple au lieu de HTTPS, en pariant que la plupart des utilisateurs ne remarqueraient pas la différence et entreraient de toute façon leurs informations bancaires en ligne..

    Votre banque n'a aucun moyen de dire "Ce sont les adresses IP légitimes de notre site Web".

    Comment DNSSEC aidera

    Une recherche DNS s'effectue en plusieurs étapes. Par exemple, lorsque votre ordinateur vous demande www.howtogeek.com, votre ordinateur effectue cette recherche en plusieurs étapes:

    • Il demande d'abord le “répertoire de la zone racine” où il peut trouver .com.
    • Il demande ensuite au répertoire .com où il peut trouver howtogeek.com.
    • Il demande ensuite à howtogeek.com où il peut trouver www.howtogeek.com.

    DNSSEC implique la «signature de la racine». Lorsque votre ordinateur va demander à la zone racine où il peut trouver un .com, il sera en mesure de vérifier la clé de signature de la zone racine et de confirmer qu'il s'agit de la zone racine légitime avec des informations vraies. La zone racine fournira ensuite des informations sur la clé de signature ou .com et son emplacement, permettant ainsi à votre ordinateur de contacter le répertoire .com et de s’assurer de sa légitimité. Le répertoire .com fournira la clé de signature et les informations pour howtogeek.com, ce qui lui permettra de contacter howtogeek.com et de vérifier que vous êtes connecté au véritable howtogeek.com, comme confirmé par les zones situées au-dessus..

    Lorsque DNSSEC sera complètement déployé, votre ordinateur sera en mesure de confirmer que les réponses DNS sont légitimes et vraies, alors qu'il n'a actuellement aucun moyen de savoir lesquelles sont fausses et lesquelles sont réelles..

    En savoir plus sur le fonctionnement du cryptage ici.

    Ce que SOPA aurait fait

    Comment le Stop Online Piracy Act, mieux connu sous le nom de SOPA, a-t-il joué dans tout cela? Eh bien, si vous suiviez SOPA, vous réaliseriez qu'il a été écrit par des personnes qui ne comprennent pas Internet, ce qui «briserait Internet» de différentes manières. C'est l'un d'eux.

    N'oubliez pas que DNSSEC permet aux propriétaires de noms de domaine de signer leurs enregistrements DNS. Ainsi, par exemple, thepiratebay.se peut utiliser DNSSEC pour spécifier les adresses IP auxquelles il est associé. Lorsque votre ordinateur effectue une recherche DNS (que ce soit pour google.com ou thepiratebay.se), DNSSEC lui permet de déterminer qu'il reçoit la réponse correcte validée par les propriétaires du nom de domaine. DNSSEC est juste un protocole; il n'essaie pas de faire la distinction entre les "bons" et les "mauvais" sites.

    SOPA aurait obligé les fournisseurs de services Internet à rediriger les recherches DNS sur les «mauvais» sites Web. Par exemple, si les abonnés d'un fournisseur de services Internet tentaient d'accéder à thepiratebay.se, les serveurs DNS du fournisseur de services Internet renverraient l'adresse d'un autre site Web, ce qui leur indiquerait que Pirate Bay avait été bloqué..

    Avec DNSSEC, une telle redirection serait impossible à distinguer d’une attaque de type "man-in-the-middle", que DNSSEC était conçue pour empêcher. Les FAI déployant DNSSEC devraient répondre avec l'adresse réelle de Pirate Bay et violeraient donc SOPA. Pour prendre en charge SOPA, DNSSEC devrait avoir un trou large, ce qui permettrait aux fournisseurs de services Internet et aux gouvernements de rediriger les demandes DNS de noms de domaine sans l'autorisation des propriétaires de ces noms. Ce serait difficile (voire impossible) à faire de manière sécurisée, ouvrant probablement de nouvelles failles de sécurité pour les attaquants.

    Heureusement, SOPA est mort et elle ne reviendra pas, espérons-le. DNSSEC est en cours de déploiement, ce qui apporte une solution à ce problème depuis longtemps.

    Crédit d'image: Khairil Yusof, Jemimus sur Flickr, David Holmes sur Flickr

    Comment fonctionnent la distorsion et l'overdrive?
    Comment les outils de diagnostic sur disque dur savent-ils si un secteur est défectueux ou non?
    Est-il difficile de remplacer une batterie d'iPhone?
    Article suivant
    Comment fonctionnent les téléphones pliables et quand en aurai-je un?
    Article précédent
    Fonctionnement de l’affinage des images numériques et pourquoi l’utiliser