Engagé pour un DNS sûr en Suisse

Composante fondamentale de l'internet, le système des noms de domaine (DNS) permet aux internautes d'atteindre des services sur l'internet par des noms de domaine. C'est pourquoi le .ch est une infrastructure critique pour la Suisse, que SWITCH protège tout particulièrement.

Texte: Michael Hausding, publié le 05.07.2021

Pour les utilisateurs de l'internet, il est indispensable que les services web ou de courrier électronique soient accessibles en tout temps, ce qui requiert deux composantes essentielles du DNS : premièrement le DNS faisant autorité, où sont publiées les adresses internet appartenant à un nom de domaine, et deuxièmement le résolveur récursif, qui permet la résolution de tous les noms de domaine dans l'internet et les rend ainsi utilisables. Les deux parties ne sont pas gérées par une entité centrale, mais sont organisées en un système hiérarchique et distribué.

Noms de serveurs faisant autorité

Depuis 2002, l'OFCOM a confié à SWITCH l'exploitation de la partie faisant autorité pour le domaine de premier niveau .ch (Top Level Domain ; TLD). Cette partie attribue à un nom de domaine .ch un serveur de noms faisant autorité généralement exploitée par un fournisseur de services d'hébergement. On estime qu'il y a plus de 10 millions de serveurs de ce type dans le monde, qui répondent au total de plus de 366 millions de noms de domaine, dont un peu plus de 2 millions qui sont accessibles sous .ch.

Les tâches de SWITCH dans le domaine faisant autorité du DNS comprennent l'exploitation sûre et stable de l'infrastructure d'enregistrement des noms de domaine .ch, l'exploitation des serveurs de noms récursifs mondiaux pour .ch et la lutte contre la cybercriminalité sur les noms de domaine .ch.

DNS Security Extension (DNSSEC)

Le DNS a été conçu il y a 30 ans, sans tenir compte de la sécurité. Les normes qui garantissent son intégrité et sa confidentialité n'ont été développées qu'ultérieurement. Parmi elles, le DNSSEC a pour but de de garantir l'exactitude des réponses DNS. Il a été introduit par SWITCH pour le .ch en 2010. Cependant, comme il n'est actuellement utilisé que pour 8% de tous les noms de domaine .ch, l'OFCOM a chargé SWITCH de créer un programme de résilience DNS avec pour objectif de sécuriser 60% de tous les noms de domaine .ch au moyen de DNSSEC d'ici fin 2026 et de promouvoir d'autres normes de sécurité.

Lutte contre la cybercriminalité

La cybercriminalité est un phénomène mondial qui constitue une menace à prendre au sérieux. Malheureusement, elle n'épargne pas non plus les noms de domaine .ch. Sur mandat de l'OFCOM, SWITCH lutte contre les abus commis sur les sites web .ch. Depuis plus de 10 ans, les titulaires de noms de domaine .ch dont les sites sont piratés à des fins de phishing ou de malware sont informés par SWITCH et soutenus dans leurs démarches pour résoudre le problème. Depuis quelques années, on observe également qu'un grand nombre de noms de domaine .ch sont enregistrés exclusivement pour un usage abusif. L'enregistrement d'un nom de domaine .ch n'exige toujours pas de vérifier l’identité du titulaire. Une nouveauté réside toutefois dans le fait qu'en cas de soupçon d'enregistrement à des fins abusives, le registre a la possibilité de bloquer l'activation d'un nom de domaine (délégation différée) tant que l'identité du titulaire n’a pas été vérifiée.

Serveurs de noms récursifs

Pour que le DNS puisse fonctionner de manière fiable en tant que système, il a besoin, en plus des serveurs de noms faisant autorité, de résolveurs récursifs. Ceux-ci recherchent l'information sur les serveurs de noms faisant autorité du monde entier et fournissent aux utilisateurs l'adresse internet pour un nom de domaine. Par le passé, ces résolveurs récursifs étaient en général exploités par des fournisseurs d'accès internet ou dans des réseaux d'entreprise.

Les exigences croissantes en matière de résolveurs récursifs, comme les normes de sécurité DNSSEC, DoH, DoT et Qname Minimization, ainsi que le filtrage des attaques de phishing et de malware, rendent l'exploitation plus coûteuse et plus complexe. Selon la tendance observée au niveau global, ces résolveurs sont de moins en moins exploités par les fournisseurs d’accès internet, mais par de grands fournisseurs de services dans le Cloud actifs au niveau mondial, dont la plupart ont leur siège aux Etats-Unis. SWITCH s'est donc également vu confier la tâche de promouvoir des résolveurs plus sûrs et fiables en Suisse. Elle l'accomplira d'une part avec la Fondation Quad9, qui s'est installée en Suisse au début de l'année avec l'aide de SWITCH et qui représente une alternative respectueuse des principes de protection des données aux résolveurs en nuage basés aux Etats-Unis. En outre, SWITCH encourage de manière tout aussi importante l'exploitation distribuée des résolveurs chez les fournisseurs d'accès internet suisses grâce à un transfert de savoir-faire, la libre disponibilité de la zone CH et un DNS-Heads Meetup.

Vu la situation de plus en plus menaçante, les exigences posées à SWITCH ont été revues à la hausse, afin de garantir la sécurité et la stabilité de l'internet en Suisse. Au cours des 25 dernières années, l'équipe d'intervention en cas d'urgence informatique de SWITCH est devenue l'un des principaux centres de compétence indépendants de Suisse pour la sécurité de l'information ; elle accomplit ses tâches à responsabilité avec la plus grande expertise.

L'auteur
Michael   Hausding

Michael Hausding

Michael Hausding a étudié l’informatique à l’Université technique de Darmstadt et le MTEC à l’EPF de Zurich. Depuis 2008, il travaille en tant qu’expert en matière de sécurité au sein de l’équipe SWITCH-CERT et est spécialisé dans les abus de DNS et de noms de domaine.

E-mail
Autres articles