31Jul

Comment DNSSEC aidera à sécuriser Internet et comment SOPA l'a presque rendu illégal

Les extensions de sécurité du système de noms de domaine

( DNSSEC) sont une technologie de sécurité qui aidera à réparer l'un des points faibles d'Internet. Nous sommes chanceux SOPA n'a pas réussi, parce que SOPA aurait rendu DNSSEC illégal.

DNSSEC ajoute une sécurité critique à un endroit où Internet n'en a pas vraiment. Le système de noms de domaine( DNS) fonctionne bien, mais il n'y a aucune vérification à aucun moment du processus, ce qui laisse des trous ouverts aux attaquants.

L'état actuel des choses

Nous avons expliqué comment fonctionne le DNS dans le passé.En un mot, chaque fois que vous vous connectez à un nom de domaine comme "google.com" ou "howtogeek.com", votre ordinateur contacte son serveur DNS et recherche l'adresse IP associée à ce nom de domaine. Votre ordinateur se connecte alors à cette adresse IP.

Important, il n'y a pas de processus de vérification impliqué dans une recherche DNS.Votre ordinateur demande à son serveur DNS l'adresse associée à un site Web, le serveur DNS répond avec une adresse IP, et votre ordinateur dit «OK!» Et se connecte avec bonheur à ce site Web. Votre ordinateur ne s'arrête pas pour vérifier si c'est une réponse valide.

Les attaquants peuvent rediriger ces requêtes DNS ou configurer des serveurs DNS malveillants conçus pour renvoyer de mauvaises réponses. Par exemple, si vous êtes connecté à un réseau Wi-Fi public et que vous essayez de vous connecter à howtogeek.com, un serveur DNS malveillant sur ce réseau Wi-Fi public peut renvoyer une adresse IP entièrement différente. L'adresse IP pourrait vous mener vers un site Web d'hameçonnage. Votre navigateur Web n'a aucun moyen de vérifier si une adresse IP est réellement associée à howtogeek.com;il suffit de faire confiance à la réponse qu'il reçoit du serveur DNS.Le cryptage HTTPS

fournit une vérification. Par exemple, disons que vous essayez de vous connecter au site Web de votre banque et que vous voyez HTTPS et l'icône de cadenas dans votre barre d'adresse. Vous savez qu'une autorité de certification a vérifié que le site Web appartient à votre banque.

Si vous avez accédé au site Web de votre banque à partir d'un point d'accès compromis et que le serveur DNS a renvoyé l'adresse d'un site d'hameçonnage illégal, le site d'hameçonnage ne pourra pas afficher ce cryptage HTTPS.Cependant, le site d'hameçonnage peut choisir d'utiliser le HTTP simple au lieu du HTTPS, en pariant que la plupart des utilisateurs ne remarqueraient pas la différence et entreraient de toute façon leurs informations bancaires en ligne.

Votre banque n'a aucun moyen de dire "Ce sont les adresses IP légitimes pour notre site Web."

Comment DNSSEC va aider

Une recherche DNS se produit réellement en plusieurs étapes. Par exemple, lorsque votre ordinateur demande www.howtogeek.com, votre ordinateur effectue cette recherche en plusieurs étapes:

  • Il demande d'abord le "répertoire de la zone racine" où il peut trouver . com .
  • Il demande ensuite le répertoire. com où il peut trouver howtogeek.com .
  • Il demande alors howtogeek.com où il peut trouver www.howtogeek.com .

DNSSEC implique de «signer la racine». Lorsque votre ordinateur demande à la zone racine où il peut trouver. com, il peut vérifier la clé de signature de la zone racine et confirmer qu'il s'agit de la zone racine légitime avec des informations véridiques. La zone racine fournira alors des informations sur la clé de signature ou. com et son emplacement, permettant à votre ordinateur de contacter le répertoire. com et de s'assurer qu'il est légitime. Le répertoire. com fournira la clé de signature et les informations pour howtogeek.com, lui permettant de contacter howtogeek.com et de vérifier que vous êtes connecté au vrai howtogeek.com, comme confirmé par les zones situées au-dessus.

Lorsque DNSSEC est entièrement déployé, votre ordinateur pourra confirmer que les réponses DNS sont légitimes et vraies, alors qu'il n'a actuellement aucun moyen de savoir lesquelles sont fausses et celles qui sont réelles.

En savoir plus sur le fonctionnement du chiffrement ici.

Qu'est-ce que SOPA aurait fait

Alors, comment la loi Stop Online Piracy, mieux connue sous le nom de SOPA, a-t-elle joué dans tout cela? Eh bien, si vous avez suivi SOPA, vous vous rendez compte qu'il a été écrit par des personnes qui ne comprenaient pas Internet, de sorte qu'il "briserait Internet" de différentes manières. C'est l'un d'eux.

Rappelez-vous que DNSSEC permet aux propriétaires de noms de domaine de signer leurs enregistrements DNS.Ainsi, par exemple, thepiratebay.se peut utiliser DNSSEC pour spécifier les adresses IP auxquelles il est associé.Lorsque votre ordinateur effectue une recherche DNS, que ce soit pour google.com ou thepiratebay.se, DNSSEC permet à l'ordinateur de déterminer qu'il reçoit la réponse correcte telle que validée par les propriétaires du nom de domaine. DNSSEC est juste un protocole;il n'essaie pas de faire la distinction entre les sites «bons» et «mauvais».

SOPA aurait obligé les fournisseurs de services Internet à rediriger les recherches DNS pour les «mauvais» sites Web. Par exemple, si les abonnés d'un fournisseur de services Internet tentaient d'accéder à thepiratebay.se, les serveurs DNS du FAI retourneraient l'adresse d'un autre site Web, ce qui les informerait que la baie Pirate avait été bloquée.

Avec DNSSEC, une telle redirection serait indiscernable d'une attaque de type man-in-the-middle, que DNSSEC a été conçue pour empêcher. Les FAI qui déploient DNSSEC devront répondre avec l'adresse réelle de Pirate Bay, et viole donc SOPA.Pour accommoder SOPA, DNSSEC devrait avoir un grand trou, ce qui permettrait aux fournisseurs de services Internet et aux gouvernements de rediriger les requêtes DNS de noms de domaine sans la permission des propriétaires du nom de domaine. Cela serait difficile( voire impossible) à faire de manière sécurisée, ouvrant probablement de nouvelles failles de sécurité pour les attaquants.

Heureusement, SOPA est morte et nous espérons qu'elle ne reviendra pas. DNSSEC est actuellement en cours de déploiement, fournissant une solution depuis longtemps attendue pour ce problème.

Crédit d'image: Khairil Yusof, Jemimus sur Flickr, David Holmes sur Flickr