Hostpoint propose depuis peu de doter ses propres domaines d’une signature DNSSEC. Il est ainsi possible de vérifier la véracité des réponses DNS. Mais qu’est-ce que DNSSEC, exactement? Qu’apporte cette protection? Hostpoint fait le point.

Certaines choses sont désormais à peine imaginables. Autrefois, lorsque l’on voulait joindre quelqu’un dont on ignorait le numéro de téléphone, le seul moyen était d’appeler les renseignements ou de consulter l’annuaire téléphonique. Le Domain Name System (DNS en abrégé) est le pendant Internet actuel des renseignements ou des Pages Jaunes dans le domaine des télécommunications.

Sur Internet, les ordinateurs communiquent par le biais d’adresses IP. Toutefois, contrairement aux ordinateurs, le commun des mortels serait bien en peine de mémoriser ces suites de chiffres parfois très longues. C’est pourquoi le DNS a été introduit dès le début des années 1980 (1984, pour être précis).

Le DNS est une base de données décentralisée répartie dans le monde entier. Lorsqu’un utilisateur saisit un domaine dans un navigateur, par exemple www.hostpoint.ch, le DNS recourt à un processus de requête hiérarchique pour trouver la bonne adresse IP auprès des serveurs DNS pertinents.


De telles requêtes reposent toutefois sur la confiance. On doit se fier aux instances fournissant les renseignements quant à la véracité des informations (p. ex. l’adresse IP ou le serveur de nom ) et à la préservation de leur intégrité pendant leur transfert.

Les requêtes DNS ne sont pas à l’abri d’un usage abusif

Malheureusement, il arrive que cette confiance soit abusée. Voici un exemple: Un internaute souhaite consulter le site d’e-banking de sa banque. Mais au lieu d’accéder au «vrai» site Web, l’utilisateur peut se retrouver sur un site falsifié, pour peu qu’un cybercriminel ait introduit une fausse adresse IP dans le processus de requête DNS. Cet exemple met en évidence la nécessité de doter le DNS de mécanismes qui permettent d’empêcher de tels scénarios ou au moins de détecter les tentatives de fraude. Tel est précisément le rôle de DNSSEC.

DNSSEC, pour «Domain Name System Security Extensions», se base sur des signatures cryptographiques vérifiables. Celles-ci visent à garantir la véracité (authenticité) et l’intégrité des données interrogées dans le DNS. Lors de la requête DNS, ces extensions de sécurité permettent de vérifier si les données reçues sont correctes et inaltérées.

Reprenons l’exemple ci-dessus: lors de la requête d’adresse IP du site Web d’e-banking, quelqu’un tente d’abuser l’utilisateur avec une mauvaise adresse IP. Toutefois, comme la banque a protégé son domaine avec DNSSEC, cette tentative illicite de falsification des informations est détectée et déjouée.

Certaines mesures souhaitables ne peuvent toutefois malheureusement pas être assurées par DNSSEC. Les informations sont certes protégées contre la falsification, mais elles ne sont pas cryptées. DNSSEC n’offre donc pas un niveau de confidentialité plus élevé que le DNS non protégé.

Rendre Internet un peu plus sûr en tant que propriétaire de domaine

La plupart des extensions de domaine connues (domaines de premier niveau) comme .ch prennent maintenant en charge DNSSEC. Il est temps de déployer également cette technologie au niveau directement inférieur de la hiérarchie DNS: les domaines pouvant être achetés par tout un chacun à travers le monde, à l’image de hostpoint.ch ou votre-propre-domaine.ch.

Hostpoint entend apporter sa contribution à cet égard et offre donc désormais à ses clients la possibilité d’activer DNSSEC pour leurs domaines. Hostpoint compte parmi les premiers fournisseurs de Suisse à avoir pris en charge les extensions de sécurité pour les serveurs de noms externes. Dorénavant, il est également possible d’activer DNSSEC pour les domaines sur les serveurs de noms de Hostpoint.

Lors du développement et de la mise en œuvre de cette fonction, Hostpoint tenait tout particulièrement à ce que les composantes et processus techniques complexes se déroulent en arrière-plan de manière entièrement automatisée. Pour activer DNSSEC, les clients n’ont donc nullement besoin de disposer de connaissances techniques approfondies ou de réaliser des paramétrages de grande ampleur. L’activation s’effectue très facilement et d’un simple clic depuis le Control Panel Hostpoint, à condition que le domaine correspondant se trouve déjà sur les serveurs de noms de Hostpoint.

Par ailleurs:
l’outil Web DNSViz permet de visualiser le statut de signature de n’importe quel domaine. Pour les domaines protégés par DNSSEC, il est ainsi possible de suivre l’ensemble de la chaîne de preuves du processus de signature hiérarchique.


Pour tous les clients Hostpoint souhaitant activer DNSSEC pour leurs domaines, c’est par ici:
Vers mes domaines

Enregistrer maintenant des domaines chez Hostpoint, très facilement:
Acheter un domaine

Les personnes souhaitant transférer leurs domaines vers Hostpoint peuvent le faire ici:
Transfert des domaines

Rendre Internet un peu plus sûr avec DNSSEC

Mauro Landolt

Communications & PR Manager

0