Sorry, you need to enable JavaScript to visit this website.
Skip to main content

Données élémentaires sur l’hébergement fast-flux et le DNSSec

Last Updated:
Date

Introduction

Par le personnel de l’ICANN

Le présent document a été mis au point par le personnel de l’ICANN et s’adresse aux participants du sommet At-Large. Il fournit des informations de base concernant certains des principaux points abordés lors des conférences du sommet.

[Fin de l’introduction]

Mémo pour le sommet de la communauté At-Large

Données élémentaires sur le DNSSec et les attaques liées à l’hébergement fast-flux

En quoi consiste l’engagement de l’ICANN en termes de stabilité et de sécurité d’Internet ?

L’ICANN a pour vocation de garantir le fonctionnement stable et sécurisé du système d’identificateurs uniques d’Internet. Selon ses statuts, l’organisation doit préserver et améliorer la stabilité opérationnelle, la fiabilité, la sécurité et l’interopérabilité mondiale d’Internet.

Dernièrement, de nombreux membres de la communauté ICANN ont commencé à se demander comment l’organisation pouvait, dans le cadre de ses attributions, déjouer les plans des personnes malveillantes qui utilisent le système de noms de domaine de manière frauduleuse ou délictuelle. Cela constitue un véritable défi, car un grand nombre des activités de ce type ne s’arrêtent pas au système de noms de domaine ou au système de numérotation autonome, ou peuvent concerner des domaines pour lesquels des organismes chargés de l’application de la loi jouissent d’une autorité exclusive sur ces activités illégales.

Deux des éléments constituant ce défi sont les préoccupations de la communauté au sujet des techniques d’hébergement fast-flux et un intérêt grandissant pour la mise en œuvre du DNSSEC (modification technique apportée à certaines opérations du système de noms de domaine et visant à sécuriser davantage ce dernier).

Qu’est-ce que l’hébergement fast-flux ?

Le terme « fast-flux » désigne un ensemble de techniques permettant d’apporter des changements rapides et réitérés aux enregistrements de ressources de serveur de noms et/ou d’hôte Internet dans une zone DNS (Domain Name System, système de noms de domaine). Ces changements entraînent la modification rapide de l’emplacement (l’adresse IP) du nom de domaine d’un hôte Internet (A) ou d’un serveur de noms (NS). Il existe des variantes de cette technique, comme de promptes mises à jour des enregistrements A dans le fichier de zone d’un sous-domaine (qui provoquent la modification des adresses IP) ou des enregistrements NS (provoquant également la modification des adresses IP), ou une combinaison de ces deux types de mise à jour, qui génère de nouveaux emplacements aussi bien pour les hôtes que pour les serveurs de noms.

Il n’est pas systématiquement recommandé de déployer des techniques fast-flux pour chaque problème de malveillance ou chaque tentative d’attaque rencontré(e), mais celles-ci sont fréquemment utilisées à ces fins. Le comportement et les intentions de l’utilisateur d’une technologie doivent être évalués indépendamment des capacités de cette technologie. Les techniques de fast-flux peuvent être employées de manière constructive, par exemple pour la distribution de contenu et l’amélioration de la disponibilité ou de la pérennité d’un réseau.

Un réseau d’attaque de type fast-flux se caractérise généralement par le déploiement et l’utilisation d’un logiciel sur des hôtes à l’insu ou sans l’accord du propriétaire ou du responsable du système. Il ne dirige pas une cyberattaque contre lui-même, mais procure plutôt une série de techniques permettant aux cybercriminels de contourner la détection. Lorsque les cybercriminels ont recours à l’hébergement fast-flux, leur objectif premier est de prolonger la durée d’une attaque et par conséquent d’étendre la durée de vie utile des hôtes compromis utilisés dans des activités illégales.

Quelle est la position actuelle de l’ICANN en matière d’hébergement fast-flux ?

En janvier 2008, le Comité consultatif pour la sécurité et la stabilité (SSAC) de l’ICANN a publié un rapport consultatif sur l’hébergement fast-flux et le système de noms de domaine. Au mois de mars suivant, le Conseil du GNSO, cherchant à atténuer les conséquences néfastes de l’hébergement fast-flux sur le système de noms de domaine, a demandé au personnel de l’ICANN de préparer un rapport examinant la recommandation du SSAC et décrivant les étapes possibles pour le développement des politiques. En mai 2008, il a mis au point un processus officiel de développement des politiques destiné à l’hébergement fast-flux et a chargé un groupe de travail d’étudier une série de questions à ce sujet. Ce groupe a soumis son rapport initial en janvier 2009 ; celui-ci proposait plusieurs idées de suivi au GNSO. Un rapport final sera établi à l’issue de la période de consultation publique.

Qu’est-ce que le DNSSEC ?

Le DNSSEC est un ensemble d’extensions de sécurité conçues pour protéger le système de noms de domaine et la communauté Internet des attaques des cybercriminels et d’autres personnes malveillantes usant de divers moyens pour intercepter les demandes de recherche, transmettre de fausses informations et tromper de quelque autre manière les internautes. Ce comportement peut faire partie d’une tactique frauduleuse de collecte de numéros de cartes bancaires, de mots de passe ou de données personnelles. Le DNSSEC appose une signature numérique aux messages DNS à l’aide d’un mécanisme de chiffrement par clé publique ou privée, fournissant ainsi un moyen pour garantir que les données DNS n’ont pas été altérées lors de leur transmission via Internet. En définissant des paires de clés rétrocompatibles dans la hiérarchie DNS, le DNSSEC peut constituer un réseau évolutif de serveurs approuvés, qui pourrait prendre sa source au niveau de la zone racine.

Il ne représente pas une solution de sécurité complète adaptée à chaque forme de cyberattaque et comporte également certains inconvénients. Les protections DNSSEC se limitent à des types d’exploitations spécifiques. De plus, si l’on en croit certaines critiques, ces protections mêmes peuvent être obtenues par un autre biais, à l’aide des logiciels DNS dernier cri, en appliquant des meilleures pratiques et en apprenant aux utilisateurs à recourir au protocole SSL avant de transmettre des données vitales. L’adoption généralisée du DNSSEC pourrait, selon les mêmes sources, requérir une gestion complexe de clés, retarder les transferts de données et créer un point de défaillance unique.

Qu’en est-il du protocole DNSSEC aujourd’hui ?

La prise en charge de la signature de la racine (déploiement du DNSSEC au niveau de la zone racine) s’étend. Le DNSSEC est désormais utilisé par quatre opérateurs de TLD, et d’autres sont en passe de l’adopter. En juin 2007, la communauté des réseaux IP européens a demandé à l’ICANN la signature rapide de la zone racine. Les parties prenantes en Suède et au Royaume-Uni ont très vite suivi cet exemple. En septembre 2008, l’ICANN a soumis au ministère du commerce américain une proposition de signature de la zone racine à l’aide de la technologie DNSSEC.

Vous voulez en savoir plus ?

Le rapport consultatif du SSAC sur l’hébergement fast-flux et le DNS présente ce domaine (voir http://www.icann.org/en/committees/security/sac025.pdf). Le rapport initial du groupe de travail du GNSO sur le fast-flux apporte les premières réponses aux questions relatives à la charte, contient des conclusions intermédiaires et formule un certain nombre d’idées à discuter et évaluer concernant les prochaines étapes : http://gnso.icann.org/issues/fast-flux-hosting/fast-flux-initial-report-26jan09.pdf.

Un récapitulatif des actions de l’ICANN préparant à la signature DNSSEC est disponible sur la page http://www.icann.org/en/announcements/dnssec-paper-15jul08-en.pdf. Pour consulter la proposition relative à la signature de la racine que l’ICANN a soumise au ministère du commerce américain, accédez à la page suivante :

http://www.ntia.doc.gov/DNS/ICANNDNSSECProposal.pdf.

Ce document a été traduit de l’anglais afin d’atteindre un plus large public. Si la société pour l’attribution des noms de domaine et des numéros sur Internet (l’ICANN) s’est efforcée de vérifier l’exactitude de la traduction, l’anglais reste la langue de travail de l’ICANN et l’original de ce document, rédigé en anglais, est le seul texte officiel et faisant autorité.