DNSSEC enfin utilisé sur le Public DNS de Google

le 21/03/2013, par Jean Elyan avec IDG News Service, Sécurité, 438 mots

Depuis 2009, Google utilise son propre système libre et public de résolution de noms de domaine (DNS), appelé Public DNS. Le géant du Net a fini l'implémentation du dispositif de sécurité qui permet de vérifier qu'une personne à la recherche d'un site web n'est pas dirigée vers un faux site.

DNSSEC enfin utilisé sur le Public DNS de Google

Les résolutions de DNS sont indispensables pour traduire un nom de domaine, par exemple www.lemondeinformatique.fr, en adresse IP accessible depuis un navigateur. Mais les systèmes DNS peuvent être détournés par des pirates informatiques. Notamment, une attaque dite « par injection de paquet ou cache poisoning », peut servir à pirater un serveur DNS et à le modifier de sorte qu'un utilisateur tapant l'adresse www.lemondeinformatique.fr soit redirigé vers un site différent.

Pour contrer ce type d'attaques, les FAI et autres opérateurs de réseau ont progressivement déployé la norme DNS Security Extensions (DNSSEC), qui utilise une clé de chiffrement publique pour « signer » numériquement les informations DNS des sites web. Mais la mise en oeuvre de ce protocole de sécurité est très longue. D'abord, les propriétaires de noms de domaines doivent s'assurer que leurs sites sont signés numériquement. Selon Google, seul un tiers environ des domaines de premier niveau sont signés et la plupart des domaines de deuxième niveau ne le sont pas. Ensuite, les FAI et autres fournisseurs de réseau doivent également adapter leurs systèmes.

Une validation des signatures DNSSEC


Google a déclaré qu'il était désormais en mesure de vérifier les signatures numériques des messages au format DNSSEC, une étape importante pour confirmer la validité des requêtes DNS. « Auparavant, nous validions et nous transmettions les messages au format DNSSEC, mais il n'y avait pas de validation », a écrit Yunhong Gu, qui dirige l'équipe Google Public DNS. « Grâce à cette fonctionnalité de sécurité, nous pouvons mieux protéger les gens contre les attaques DNS et rendre les noms de domaine globalement plus sûr du fait que nous identifions et rejetons les requêtes non valides des domaines protégés par une signature DNSSEC ».

Selon son blog sur Public DNS, Google explique que si elle ne peut pas valider un domaine, elle retourne un message d'erreur. Mais si son système ne parvient pas à valider un nom de domaine très populaire, il peut exclure le site de sa liste noire jusqu'à ce que le problème soit résolu. « Public DNS de Google répond chaque jour à plus de 130 milliards de requêtes envoyées par plus de 70 millions d'adresses IP », a écrit Yunhong Gu. Mais, seules 7 % d'entre elles demandent à être validées par des informations DNSSEC. « Clairement, le DNSSEC n'en est qu'à ses débuts, mais nous espérons que nos efforts vont contribuer à accélérer son déploiement », a-t-il ajouté.

Cisco alerte sur des failles dans IOS XE

Cisco a émis une alerte concernant une vulnérabilité critique au niveau de l'interface utilisateur web de son système d'exploitation d'interconnexion réseau IOS XE. Aucun patch n'est pour l'instant disponible...

le 17/10/2023, par Dominique Filippone, 506 mots

Emergency Responder et d'autres produits de Cisco vulnérables

Les dernières vulnérabilités corrigées par Cisco pourraient donner aux attaquants un accès root, permettre un déni de service ou une escalade des privilèges. En fin de semaine dernière, Cisco a corrigé des...

le 10/10/2023, par Lucian Constantin, IDG NS (adaptation Jean Elyan), 593 mots

IBM lance un service de connectivité multicloud basé sur le DNS

Le service NS1 Connect proposé par IBM peut prendre des décisions dynamiques sur l'endroit où envoyer des requêtes Internet pour assurer les meilleures connexions dans des environnements réseau complexes et...

le 27/09/2023, par Michael Cooney, IDG NS (adapté par Jean Elyan), 989 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...