Le système de noms de domaine (DNS) est un élément important de l’Internet qui n’a toutefois pas été conçu dans un souci de sécurité. Au cours des quelque vingt dernières années, une grande attention a été accordée à l’amélioration de ses aspects foncièrement peu sûrs.
Parmi ceux-ci, on peut citer le déploiement des extensions de sécurité du DNS (DNSSEC) qui permettent la validation cryptographique des enregistrements du DNS, et plus récemment le DNS contre le TLS et le DNS contre le HTTPS, qui cryptent les transactions du DNS entre les hôtes et les dispositifs de résolution.
Le DNS, cependant, dépend également du système de routage global pour envoyer des requêtes DNS desdits dispositifs aux serveurs, puis renvoyer les réponses. L’intégrité du système de routage est donc extrêmement importante pour garantir que les transactions DNS sont acheminées efficacement vers la bonne destination. Pourtant, à l’heure actuelle, peu de registres DNS mettent en œuvre l’infrastructure à clé publique de routage (RPKI), un cadre spécifique conçu pour sécuriser l’infrastructure de routage d’Internet, en particulier le Border Gateway Protocol (BGP).
Une étude portant sur 4 138 zones – comprenant 1 201 domaines génériques de premier niveau (gTLD), 308 domaines de premier niveau de code de pays (ccTLD), 271 zones de carte inversée et 1 780 zones de sous-ccTLD – a montré un total de 6 910 origines de routage pour les serveurs de noms qui desservent ces zones.
Pourtant, seuls 22 % d’entre eux disposaient d’autorisations d’origine de route (ROA) valides, un élément signé numériquement qui vérifie que le détenteur d’un bloc d’adresses IP a autorisé un AS (Autonomous System) à créer des routes vers ce ou ces préfixes dans le bloc d’adresses.
Si les chiffres pour les zones de carte inversée (53 %) et les zones ccTLD (34 %) témoignent d’un déploiement, ils sont nettement inférieurs pour les zones gTLD (11 %). En fait, environ 40 % des TLD ne disposent d’aucun déploiement de ROA, et 20 % seulement d’un déploiement partiel.
Ces résultats sont examinés plus en détail dans le document « A Look at Route Origin Authorizations Deployment at DNS Registries » sur le site Web des MANRS. Il est important de souligner un aspect de la sécurité du DNS qui a été quelque peu négligé.
Si vous souhaitez en savoir plus sur les raisons pour lesquelles la sécurité du routage est si importante, veuillez également lire les cinq parties de notre introduction sur la sécurité du routage .