État de la sécurité du routage dans les registres du DNS Thumbnail
‹ Retour
MANRS (Mutually Agreed Norms for Routing Security) 25 août 2020

État de la sécurité du routage dans les registres du DNS

April Froncek
Par April FroncekSenior Editor, Content

Le système de noms de domaine (DNS) est un élément important de l’Internet qui n’a toutefois pas été conçu dans un souci de sécurité. Au cours des quelque vingt dernières années, une grande attention a été accordée à l’amélioration de ses aspects foncièrement peu sûrs.

Parmi ceux-ci, on peut citer le déploiement des extensions de sécurité du DNS (DNSSEC) qui permettent la validation cryptographique des enregistrements du DNS, et plus récemment le DNS contre le TLS et le DNS contre le HTTPS, qui cryptent les transactions du DNS entre les hôtes et les dispositifs de résolution.

Le DNS, cependant, dépend également du système de routage global pour envoyer des requêtes DNS desdits dispositifs aux serveurs, puis renvoyer les réponses. L’intégrité du système de routage est donc extrêmement importante pour garantir que les transactions DNS sont acheminées efficacement vers la bonne destination. Pourtant, à l’heure actuelle, peu de registres DNS mettent en œuvre l’infrastructure à clé publique de routage (RPKI), un cadre spécifique conçu pour sécuriser l’infrastructure de routage d’Internet, en particulier le Border Gateway Protocol (BGP).

Une étude portant sur 4 138 zones – comprenant 1 201 domaines génériques de premier niveau (gTLD), 308 domaines de premier niveau de code de pays (ccTLD), 271 zones de carte inversée et 1 780 zones de sous-ccTLD – a montré un total de 6 910 origines de routage pour les serveurs de noms qui desservent ces zones.

Pourtant, seuls 22 % d’entre eux disposaient d’autorisations d’origine de route (ROA) valides, un élément signé numériquement qui vérifie que le détenteur d’un bloc d’adresses IP a autorisé un AS (Autonomous System) à créer des routes vers ce ou ces préfixes dans le bloc d’adresses.

Si les chiffres pour les zones de carte inversée (53 %) et les zones ccTLD (34 %) témoignent d’un déploiement, ils sont nettement inférieurs pour les zones gTLD (11 %). En fait, environ 40 % des TLD ne disposent d’aucun déploiement de ROA, et 20 % seulement d’un déploiement partiel.

Ces résultats sont examinés plus en détail dans le document « A Look at Route Origin Authorizations Deployment at DNS Registries » sur le site Web des MANRS. Il est important de souligner un aspect de la sécurité du DNS qui a été quelque peu négligé.

Si vous souhaitez en savoir plus sur les raisons pour lesquelles la sécurité du routage est si importante, veuillez également lire les cinq parties de notre introduction sur la sécurité du routage .

‹ Retour

Avertissement: Les points de vue exprimées dans cette publication appartiennent à l’auteur et peuvent ou non refléter les positions officielles de l’Internet Society.

Articles associés

MANRS (Mutually Agreed Norms for Routing Security) 20 avril 2021

Charte de la communauté MANRS, votre avis nous importe

Bien que les MANRS aient gagné en force depuis leur début en 2014, en attirant l’attention, en suscitant l’intérêt...

Renforcer l'Internet 3 mars 2021

Les bourses MANRS 2021 sont maintenant ouvertes

Le programme de bourses MANRS (Mutually Agreed Norms for Routing Security) 2021 accepte désormais les candidatures. Si vous êtes...

MANRS (Mutually Agreed Norms for Routing Security) 8 février 2021

Présentation du programme d’ambassadeurs des MANRS 2021

Le programme d’ambassadeurs des MANRS (Mutually Agreed Norms for Routing Security) 2021 accepte désormais les candidatures. Si vous êtes...

Rejoignez la conversation avec les membres de Internet Society à travers le monde