Archives par mot-clé : DNS Cache Poisonning

DNSSEC sur les serveurs racine de l’Internet

 

DNS C’est parti ! L’Icann, l’organisme qui gère les noms de domaine, et l’opérateur VeriSign ont décidé de mettre les bouchées doubles dans l’implémentation du protocole DNSSEC (DNS Security Extensions) avec, à la clé, une feuille de route précise pour le déploiement sur les serveurs racine. Ensuite, Verisign implémentera ce protocole sur les domaines .com et .net, dont il est responsable.

DNSSEC est un protocole qui, grâce à un système de signature électronique, permet de vérifier l’authenticité de la réponse d’un serveur DNS. Son fonctionnement est hiérarchique. Chaque serveur d’une zone DNS (.fr, .com, inria.fr, etc.) disposera d’une paire de clés de signature à chiffrement asymétrique, appelée Zone Signing Keys (ZSK). L’une des clés est publique, l’autre privée. Cette dernière sert à signer les données DNS que délivre le serveur de zone. Un client DNS qui reçoit une réponse signée d’un de ces serveurs pourra déchiffrer la signature au moyen de la clé publique et vérifier, ainsi, la provenance et l’intégrité des données.

Pour autant, ce système de clés ne permet pas de savoir à 100 % si le serveur lui-même est réellement digne de confiance : un usurpateur pourrait se substituer à lui et diffuser ses propres ZSK. C’est pourquoi les serveurs de zone disposent d’une deuxième paire de clés asymétriques. Appelées Key Signing Keys (KSK), elles servent à signer les ZKS des zones inférieures (01net.com, afnic.fr, etc.), créant ainsi une chaîne de confiance sur l’ensemble des URL. Un navigateur n’obtiendra la confiance d’une zone de niveau n (01net.com), que s’il a obtenu la confiance des zones de niveau supérieur (.com).

Une paire de clés maître pour sécuriser tout l’Internet

Continuer la lecture de DNSSEC sur les serveurs racine de l’Internet

Vulnérabilité du protocole DNS – correctif à appliquer d’urgence

DNS Le Domain Name Service est un protocole qui permet de convertir le nom d’un domaine (www.ABinterNETwork.fr par ex.) en son adresse réelle (adresse IP) permettant aux routeurs de trouver le serveur sur Internet.

Hors une faille de DNS Cache Poisonning (connue depuis longtemps mais non corrigé car elle semblait compliquer à exploiter) vient d’être publiquement dévoilée lors d’une conférence par Dan Kaminsky) (avant qu’il fasse la démonstration début août de son exploitation). Tous les serveurs DNS sont concernés (ceux connectés sur Internet) par cette faille de sécurité et il est urgent d’appliquer un correctif (déjà publiés entre autre par Cisco, Microsoft, Red Hat,… pour leurs produits) car cette faille permet à un pirate de se faire passer pour un serveur « fiable » et autorisé.

Continuer la lecture de Vulnérabilité du protocole DNS – correctif à appliquer d’urgence