Actualités Grandes Entreprises

Comprendre pourquoi DNSSEC est essentiel pour protéger les noms de domaine

Pourquoi DNSSEC est essentiel pour protéger les noms de domaine

La bonne maîtrise du système de nom de domaine, plus largement connu sous l’acronyme DNS (Domain Name System), est indispensable pour garantir la disponibilité et la légitimité des sites web et des différentes applications numériques d’une entreprise. Certaines attaques liées au DNS peuvent avoir des conséquences importantes en termes d’image et de performances économiques puisqu’elles peuvent se traduire notamment par la perte d’utilisateurs, l’accès aux informations d’identification des utilisateurs par des pirates, l’indisponibilité du contenu et la frustration des utilisateurs. En activant le protocole de sécurisation DNSSEC sur vos noms de domaine, vous donnez la possibilité de garantir que les données soient authentifiées et sécurisées pour empêcher la falsification de vos enregistrements DNS et renforcez la sécurité de vos noms de domaine.

Pour autant, l’application de cette recommandation de l’ICANN (lien en anglais) est loin d’être un réflexe pour une très grande majorité des entreprises. Comprenons pourquoi et démystifions les aspects techniques du protocole DNSSEC.

Pourquoi DNSSEC permet de sécuriser les noms de domaine ?

DNSSEC est un protocole qui permet de signer les informations échangées au niveau du serveur de noms, par la cryptographie à clé publique. Il établit une « chaîne de confiance » jusqu’à la racine DNS, en sécurisant les données envoyées par les différents serveurs DNS.

Les données sont authentifiées de bout en bout, ce qui garantit l’authenticité des réponses. Il est alors impossible pour une personne malveillante de venir briser cette chaîne de confiance protégée.

Illustration du service DNSSEC
Illustration du service DNSSEC

L’activation de DNSSEC protège du détournement des données, connu aussi sous le nom de DNS hijacking, et permet de garantir, par exemple, que le trafic de votre site ne soit redirigé vers un site frauduleux cherchant à voler des données et informations. Cette bonne pratique fait également partie des recommandations formulées par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Informations) pour la sécurisation des noms de domaine.

Comment fonctionne DNSSEC ?

DNSSEC fonctionne via la signature par cryptographie à clé publique à travers la procédure suivante :

  1. Le titulaire du nom de domaine génère ses paires de clés ;
  2. Il transmet la clé publique à son bureau d’enregistrement de domaine ;
  3. Le bureau d’enregistrement envoie les clés au Registre ;
  4. Le Registre les signe et les publie.

Le procédure est donc proche de celle utilisée pour les certificats SSL qui sont générés par les administrateurs de sites web, et dont la partie publique est envoyée et signée par une autorité de certification (CA).

Le DNSSEC agit d’ailleurs comme une sécurité supplémentaire à HTTPS : DNSSEC assure que l’internaute est bien renvoyé sur votre serveur web, et le certificat SSL, lui, garantit la sécurité des échanges de données avec votre site web.

Pourquoi l’activation de DNSSEC reste une pratique minoritaire au sein des entreprises ?

Malgré l’assurance d’une sécurisation renforcée, l’activation de DNSSEC reste très confidentielle, même au sein des grandes entreprises. À titre d’exemple, en prenant les entreprises du CAC40 comme panel de référence, le constat est sans appel : moins de 5 entreprises utilisent ce protocole de sécurité.

Et les raisons sont assez simples à comprendre.

Premièrement, la mise en place manuelle de DNSSEC est une manipulation relativement complexe. Mais surtout, ce protocole nécessite des opérations de maintenance régulières (pour la gestion des changements de clés KSK/ZSK) dont la complexité est la raison principale avancée par les services techniques lorsque le débat autour de DNSSEC est lancé. D’autant que justement, la moindre erreur technique peut avoir des répercussions importantes sur la disponibilité des services numériques liés.

C’est pour répondre à ces problématiques que Gandi Corporate Services a automatisé une grande partie de la procédure pour permettre aux entreprises de bénéficier du niveau de sécurité offert par DNSSEC, sans en subir toute la complexité.

Comment Gandi Corporate Services a simplifié l’activation de DNSSEC sur un nom de domaine ?

Chez Gandi Corporate Services, toute la chaîne DNSSEC peut être activée en un clic, sans que vous n’ayez à générer vous-même les clés cryptographiques nécessaires.

En activant DNSSEC sur un nom de domaine Gandi Corporate Services vous pouvez ainsi :

  1. Signer vos zones sur LiveDNS,
  2. Publier automatiquement les clés auprès du Registre si vous utilisez nos serveur DNS,
  3. Automatiser les changements de clés (rollover) si vous avez un DNS externe – au travers du « Third Party DNS operator to Registrars/Registries Protocol ».

Suivez notre vidéo tuto pour être guidé(e) pas à pas :

Le détournement d’enregistrements DNS est une réalité face auxquelles les entreprises doivent se prémunir. Avec l’activation de DNSSEC sur vos noms de domaine, vous vous assurez que les données soient authentifiées et sécurisées et que le trafic de votre site ne soit pas redirigé vers un site frauduleux cherchant à voler les données de vos clients.

Pour toute question ou demande d’assistance concernant l’activation de DNSSEC, n’hésitez pas à contacter l’équipe Gandi Corporate Services à l’adresse corporatecontact@gandi.net.