Pirates à bord?

Les hackers détournent volontiers les noms de domaine d’organisations renommées. Le DNSSEC est techniquement simple à mettre en œuvre et leur oppose un rempart efficace.

Texte: Cornelia Puhze, publié le 26.06.2019

La campagne mondiale de détournement de DNS de ce début d’année a prouvé une fois de plus combien l’infrastructure Internet est sensible, et combien la propriété intellectuelle est convoitée. Les domaines protégés par DNSSEC ont, dans la plupart des cas, rendu les attaques plus difficiles pour les hackers. Mais surtout, les attaques ont été détectées bien plus rapidement. Voilà pourquoi l’ICANN, Internet Corporation for Assigned Names and Numbers, recommande fortement d’implémenter le DNSSEC pour tous les domaines. Avec un taux d’adoption de seulement 4%, la Suisse se classe parmi les pays les plus mal lotis d’Europe. Un retard d’autant plus étonnant que la mise en œuvre technique est devenue très simple. Un seul clic suffit dans de nombreux cas.

Les pirates de domaines apprécient les cargos de données renommés

Détourner un nom de domaine connu est une activité très lucrative pour les cybercriminels, et les domaines des hautes écoles promettent également de gros butins. Ces domaines suscitent la convoitise de données hautement sensibles de projets de recherche, d’innovations sur le point d’être brevetées ou de données personnelles de nombreux utilisateurs. De plus, un domaine réputé et crédible est idéal pour le spamming ou le phishing.

Il est préférable de ne pas se représenter en détail les conséquences financières ou les atteintes à la réputation pouvant résulter d’une attaque de grande ampleur. C’est pourquoi il est important que DNSSEC figure en tête des priorités pour les services informatiques des hautes écoles.

«Best Practice et rempart de sécurité supplémentaire»

En tant que l’une des premières hautes écoles de Suisse, l’université de Berne a activé le DNSSEC dès 2017. Thushjandan Ponnudurai, du service informatique, estime aujourd’hui qu’il s’agissait d’une décision judicieuse. Le processus a été très simple, et il n’occasionne quasiment aucun travail supplémentaire après sa mise en œuvre. «Pour nous, il était clair que le DNSSEC constituait une Best Practice et un rempart de sécurité supplémentaire pour protéger les étudiants, les collaborateurs et les chercheurs des attaques venant d’Internet», déclare le chef de projet pour expliquer la motivation de la mise en œuvre à l’époque. «Le DNSSEC est en outre une technologie de base pour d’autres mesures visant à sécuriser le trafic de données, comme la DANE, DNS-based Authentication of Named Entities.» Le protocole DANE vérifie par exemple l’authenticité d’une communication chiffrée par e-mail.

La haute école de Lucerne signe et valide ses domaines avec DNSSEC depuis cette année. «La sécurité revêt chez nous une très haute priorité, déclare Daniel Eisenlohr du service informatique. Avec le DNSSEC, nous avons ajouté à notre architecture un obstacle supplémentaire contre de potentiels attaquants.» L’implémentation était prévue depuis longtemps, mais les ressources manquaient. La mise en œuvre effective a finalement été plus rapide et simple qu’attendu. Il a fallu deux semaines à un apprenti pour établir la planification et l’implémentation en se basant sur les recherches existantes. «Pour la migration elle-même, nous avons pu faire appel aux spécialistes de SWITCH, ce qui nous a été d’une grande aide», témoigne Daniel Eisenlohr.

Le DNSSEC en un seul clic

SWITCH conseille les services informatiques des hautes écoles pour la planification et l’implémentation de DNSSEC. Une équipe de spécialistes se tient volontiers à disposition en cas de problème. Suivant le serveur DNS, il est désormais possible d’activer DNSSEC en un seul clic grâce au Child Delegation Signer (CDS).

Le registre de SWITCH a sciemment travaillé à cette automatisation, qui a également favorisé ces dernières années la percée majeure d’HTTPS. Depuis que le CDS a été activé pour les domaines .ch et .li au début de l’année, bien plus de domaines sont sécurisés en Suisse par DNSSEC. SWITCH contribue ainsi à sécuriser significativement le flot de données, et veille à ce que les internautes n’accostent pas sur des sites Web piratés. Mais il est de la responsabilité des détenteurs de domaines d’activer systématiquement le DNSSEC comme obstacle contre les pirates.

Que dois-je faire pour utiliser DNSSEC?

En tant qu’utilisateur d’Internet, vous n’avez rien à faire. Si votre fournisseur d’accès à Internet prend en charge les extensions de sécurité DNSSEC, toutes les vérifications des signatures sont effectuées sur ses serveurs.

Si vous possédez des noms de domaine que vous souhaitez protéger avec la technologie DNSSEC, vous pouvez choisir un registraire/hébergeur qui signe vos noms de domaine avec DNSSEC. Certains registraires .ch vous permettent d’effectuer ce changement en un seul clic.

Informations supplémentaires

Autres articles