Actualités Actualités

Sécurité du DNS : l'importance de serveurs de noms méfiants (RFC 5452)

Accueil > Observatoire & ressources > Actualités > Sécurité du DNS : l'importance de serveurs de noms méfiants (RFC 5452)
Le 29/01/09

Le RFC 5452, Measures for making DNS more resilient against forged answers, vient d’être publié. Ce document technique est une étape importante dans le travail mené pour sécuriser le DNS, notamment contre l’empoisonnement des données (l’empoisonnement est un ensemble de techniques qui permet à un attaquant de transmettre aux utilisateurs des fausses informations, par exemple une fausse adresse IP à la place de celle de www.afnic.fr, permettant ainsi de détourner du trafic).

L’approche actuelle contre l’empoisonnement est double : d’une part rendre cet empoisonnement plus difficile par une série de contre-mesures techniques, c’est l’objet de ce RFC 5452. Les règles qu’il contient sont déjà mises en oeuvre dans les serveurs DNS comme BIND ou Unbound. (Pour BIND, cela a été fait en urgence à l’été 2008, après l’annonce de l’attaque dite « Kaminsky ».)

D’autre part, rendre l’empoisonnement impossible par une signature cryptographique des données, c’est le système DNSSEC. DNSSEC est complexe et son déploiement soulève beaucoup de problèmes, techniques ou politiques. Il est donc nécessaire de ne pas mettre « tous ses oeufs dans le même panier » et de continuer à déployer les contre-mesures autres que DNSSEC.

L’AFNIC invite donc tous les opérateurs de serveurs DNS récursifs (« résolveurs ») à s’assurer que le logiciel installé est bien conforme aux recommendations du RFC 5452. Pour BIND, c’est le cas depuis la version 9.4.1. Pour Unbound, c’est le cas depuis la version 1.0. Pour PowerDNS recursor, c’est le cas depuis toujours (l’auteur de PowerDNS recursor est un des auteurs du RFC.)

Considérant la sécurité et la stabilité de l’Internet comme une part essentielle de ses missions, l’AFNIC a activement participé au développement de ce RFC 5452.

À propos de l’AFNIC
(Association Française pour le Nommage Internet en Coopération)
Association à but non lucratif, l’AFNIC est l’organisme chargé de la gestion administrative et technique des noms de domaine .fr et .re, suffixes internet correspondant à la France et à l’Île de la Réunion.
L’AFNIC est composée d’acteurs publics et privés : représentants des pouvoirs publics, utilisateurs et prestataires de services Internet (bureaux d’enregistrement).
En savoir plus