SlideShare uma empresa Scribd logo

JCSA 2012 Tutoriel Afnic par Stéphane Bortzmeyer : Securité des noms de domaines

Afnic
Afnic
1 de 46
Baixar para ler offline
Sécurité des noms de domaine Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr 1 / 45
Sécurité des noms de domaine Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr 2 / 45
Introduction Plan du tutoriel 1 Introduction 2 Résolution DNS 3 Avitaillement 4 Risques théoriques 5 Réalités 6 Solutions et recommandations 7 Conclusion 3 / 45
Introduction Introduction Nous voulons tous de la sécurité pour nos noms. Mais quel genre de sécurité ? 1 Contre les pannes ? 1 Physiques ? 2 Logicielles ? 2 Contre les attaques ? Menées par qui ? 1 L’État ? 2 Le lycéen dans son garage ? 3 La mafia ? 3 Contre les cafouillages administratifs ? 1 Non-renouvellement 2 Hijacking 4 / 45
Introduction SécuritéS Il n’y a pas la sécurité. Il y a plusieurs services de sécurité, parfois contradictoires : 1 La disponibilité (le service fonctionne) 2 L’intégrité (le service n’a pas été modifié subrepticement) 3 La confidentialité (le service ne laisse pas fuire des informations) Disponibilité et intégrité s’entendent souvent mal. 5 / 45
Résolution DNS Plan du tutoriel 1 Introduction 2 Résolution DNS 3 Avitaillement 4 Risques théoriques 5 Réalités 6 Solutions et recommandations 7 Conclusion 6 / 45
Résolution DNS Menaces contre la résolution DNS Résolution : demander aux serveurs DNS les informations associées à un nom de domaine (par exemple les adresses IP Il y a les serveurs résolveurs (typiquement fournis par le FAI) et les serveurs faisant autorité (ceux des titulaires de noms ou d’un hébergeur DNS). 7 / 45
Résolution DNS Résolution DNS, suite 8 / 45
Résolution DNS Pannes matérielles Plein d’ennemis possibles : Pelleteuses (coupure de Prosodie en mai 2011) Femme de ménage Bâteau de pêche (dont l’ancre arrache les câbles) Écureuil (aux États-Unis, les câbles ne sont pas enterrés) 9 / 45
Résolution DNS Pannes logicielles La seconde qui tue Le 1er juillet 2012, une bogue Linux liée à la seconde intercalaire plante de nombreux serveurs. Dont tous ceux du NIST (bureau états-unien des mesures). Tous les serveurs de time.gov sont en panne. Quand un domaine populaire s’arrête, tous les résolveurs se bloquent Le 19 mai 2009, presque tout l’Internet chinois paralysé par une panne du service de résolution de noms (attaque contre Baofeng, mais ayant rebondi sur les opérateurs réseaux). 10 / 45
Résolution DNS Bogue au registre Le 12 octobre 2009, tous les noms de domaine suédois disparaissent pendant une heure. Le 12 mai 2010, les deux tiers des domaines allemands ont disparu pendant une heure et demie. 11 / 45
Résolution DNS Attaque par déni de service Déni de service : attaque qui vise à empêcher le service de fonctionner. Il ne s’agit pas de prendre le contrôle du service, juste de l’arrêter. Par exemple, envoi d’une énorme quantité de données au serveur. . . qui n’arrive plus à suivre. Il ne peut plus alors répondre aux requêtes légitimes. Se défendre contre ces attaques est très difficile. 12 / 45
Résolution DNS Exemples d’attaques par déni de service Le 23 décembre 2009, un grand libraire en ligne stoppé par une attaque DNS réussie. Attaque (ratée) contre les serveurs racine de février 2007. Mais aussi menaces non suivies d’effet comme le 31 mars 2012 contre la racine. Importante recrudescence des attaques par déni de service contre le DNS depuis décembre 2011. Les attaques sont devenues banales. 13 / 45
Résolution DNS dDoS Il y a très longtemps que les pirates n’utilisent plus uniquement leurs propres machines ! Le pirate typique aujourd’hui est aux commandes d’un botnet (roBOT NETwork), des centaines de milliers de PC MS-Windows qui obéissent au doigt et à l’œil au C&C (Command & Control), le poste de commandement. 14 / 45
Résolution DNS Modification des requêtes ou réponses dans le réseau Problème surtout étudié en Chine À l’intérieur du réseau, les réponses DNS sont modifiées (même si on avait demandé directement à un serveur étranger). 15 / 45
Résolution DNS Modification des requêtes ou réponse par le résolveur Résolveurs menteurs Résolveurs du FAI qui donnent délibérement de fausses réponses. Motivation la plus courante : rediriger vers des pages de pub. Censure légale ARJEL en France, projets SOPA et PIPA aux États-Unis : le résolveur DNS a l’obligation légale de mentir (« www.romecasino.com n’existe pas ») 16 / 45
Résolution DNS Résolveur menteur, pour le Bien ? 1 BIND a désormais un mécanisme pour le transformer en menteur, RPZ. Il permet en outre de distribuer les listes de domaines censurés via du transfert de zone. 2 Était-ce une bonne idée de filtrer les domaines potentiellement utilisés par le malware Conficker ? ikea, arte et sncf en ont été victime. Et Conficker n’a pas été stoppé. 17 / 45
Résolution DNS Empoisonnement de cache (Kaminsky) Découverte en janvier 2008 par Dan Kaminsky, annoncée le 8 juillet 2008 puis publiée en août. A nécessité de patcher la plupart des résolveurs pour mettre des ports sources aléatoires. Exploite uniquement des failles connues mais avec un moyen de les rendre mille fois plus efficace. L’empoisonnement DNS était théoriquement possible, il devient facile. 18 / 45
Résolution DNS Changement de résolveur 1 Les machines font une confiance aveugle à leur résolveur (peu valident elles-même avec DNSSEC). 2 Changer le résolveur permet de tout faire (le résolveur du méchant peut alors répondre que www.mabanque.example est 192.0.2.1, adresse contrôlée par le méchant). Exemple :DNS Changer Logiciel malveillant qui changeait les résolveurs. Le trafic était détourné vers des sites Web payants. Le FBI a piraté les résolveurs du méchant pour analyser le trafic. Le 9 juillet, ce détournement cesse et les « utilisateurs » de DNS Changer seront dans le noir. 19 / 45
Résolution DNS Espionnage Le trafic DNS nous en apprend beaucoup. . . Tout gérant de serveur (faisant autorité ou résolveur) peut en apprendre sur les utilisateurs. 20 / 45
Résolution DNS Attaques non techniques La lecture de certains journaux pourrait le faire oublier mais les attaques les plus courantes sont non techniques. Ingéniérie sociale (« j’ai oublié le nom du fichier où il avait le mot de passe, vous pouvez me le rappeler ? ») Un bon exemple est le hameçonnage « votre compte vient d’être crédité de 10 000 $, allez en http://192.0.2.1/form.php pour valider ce transfert » 21 / 45
Avitaillement Plan du tutoriel 1 Introduction 2 Résolution DNS 3 Avitaillement 4 Risques théoriques 5 Réalités 6 Solutions et recommandations 7 Conclusion 22 / 45
Avitaillement Enregistrement des noms Les noms de domaine sont enregistrés auprès d’un registre, souvent via un Bureau d’Enregistrement (BE), et hébergés chez un hébergeur DNS (souvent le BE). Chacun de ces acteurs peut être défaillant Par piratage ou malhonnêteté 23 / 45
Avitaillement Piratage d’un BE Cas de google.co.ma en 2009 Piratage du BE (injection SQL) puis envoi des fausses données au registre 24 / 45
Avitaillement Piratage d’un registre Piratage du registre .pr en 2009 Injection SQL au registre de Porto-Rico. microsoft.com.pr, dell.com.pr, etc redirigés 25 / 45
Avitaillement Intermédiaire piraté ou malhonnête 1 Il peut y avoir d’autres acteurs, qui posent les mêmes problèmes de sécurité 2 Revendeur 3 Hébergeur DNS 26 / 45
Avitaillement Saisie légale Opération « In Our Sites » L’ICE (U.S. Immigration and Customs Enforcement, agence états-unienne) a saisi auprès du registre de .com des centaines de noms (sans jugement). 27 / 45
Avitaillement La loi est nationale Bien se rappeler qu’il n’existe pas de TLD « international ». Vous utilisez un .com, vous êtes soumis à la loi états-unienne. 28 / 45
Avitaillement Se faire prendre son domaine légalement en France Pas de garantie pour le titulaire de noms de domaine Le domaine peut être pris au titulaire de bonne foi, par jugement (affaire Milka en 2005) ou bien par menaces juridiques (affaire Madame Figaro en 2012). 29 / 45
Avitaillement Détournement Manœuvres pour mettre la main sur un domaine (envoi de faux messages du titulaire, par exemple) Connu grâce au célébrissime sex.com qui a ainsi changé de mains plusieurs fois (et qui a fait l’objet d’un livre, le seul nom de domaine dans ce cas) 30 / 45
Risques théoriques Plan du tutoriel 1 Introduction 2 Résolution DNS 3 Avitaillement 4 Risques théoriques 5 Réalités 6 Solutions et recommandations 7 Conclusion 31 / 45
Risques théoriques Certains risques sont surtout pour les conférences sécurité 1 Les orateurs aux conférences sécurité aiment bien les exposés techniques rigolos, même s’ils sont irréalistes. 2 Dans ces conférences, on voit donc souvent passer des « vulnérabilités » qui ne marcheront qu’en labo (souvenez-vous de BEAST...) 32 / 45
Risques théoriques Exemple, les IDN 1 En outre, dans ces conférences, tout le monde parle anglais : on est donc sûr d’obtenir un succès en attaquant Unicode. 2 Exemple de légende urbaine répandue « Les IDN facilitent le hameçonnage, cìc.fr ressemble à cic.fr ». 3 Or, toutes les études sur le hameçonnage montrent que les utilisateurs ignorent l’URL, ne le comprenant pas (cic-secure.com. . . ). 4 Les spams de hameçonnage ne comprennent jamais d’URL et souvent uniquement des adresses IP ! 5 Mais le monde de la sécurité informatique n’est pas encore evidence-based. Les légendes ont la vie dure. 33 / 45
Réalités Plan du tutoriel 1 Introduction 2 Résolution DNS 3 Avitaillement 4 Risques théoriques 5 Réalités 6 Solutions et recommandations 7 Conclusion 34 / 45
Réalités Les attaques les plus courantes Les attaques purement DNS sont très minoritaires Ne vous focalisez pas sur les attaques techniques sophistiquées qui font la une. La plupart des attaques sont « bêtes » mais efficaces (ingéniérie sociale, faille exploitée par un script-kiddie, dDoS purement volumétrique). 35 / 45
Solutions et recommandations Plan du tutoriel 1 Introduction 2 Résolution DNS 3 Avitaillement 4 Risques théoriques 5 Réalités 6 Solutions et recommandations 7 Conclusion 36 / 45
Solutions et recommandations Redondance 1 Avec le DNS, c’est facile, la redondance d’un service faisant autorité est prévue dès le début (contrairement à HTTP), 2 Deux serveurs, ce n’est pas assez, mettez-en au moins quatre, 3 Sur-avitailler : machines et réseaux pouvant tenir trois à cinq fois la charge normale (pour les cas de dDoS), 4 Et, surtout, évitez le SPOF (Single Point of Failure). Ayez plusieurs sites physiques et, si possible, plusieurs opérateurs. . . 37 / 45
Solutions et recommandations Diversité Une bogue BIND et tous vos domaines sont fichus ? Une bogue Linux et, le jour de la seconde intercalaire, aucun serveur ne marche ? Favoriser la diversité génétique Par exemple, il n’y a aucune raison de n’utiliser que BIND. « Nous vous rappelons qu’il existe d’autres possibilités. » 38 / 45
Solutions et recommandations Supervision Surveiller l’état de ses domaines, pour éviter d’être prévenus par Slashdot et Zataz... (Surveiller le serveur Web est insuffisant.) Surveiller chaque serveur (autrement, vous serez prévenus seulement lorsque le dernier tombera en panne.) 39 / 45
Solutions et recommandations Bonnes pratiques de sécurité Rien de spéficique aux noms de domaines, mais : 1 Bien vérifier la sécurité du système d’enregistrement (ne pas mettre le mot de passe de votre compte auprès du BE sur un post-it sur l’écran), et de l’hébergement DNS, 2 Attention à l’ingéniérie sociale (« Bonjour, ici le service technique de votre registrar, il y a un problème technique, nous aurions besoin du mot de passe. ») 3 Développer une culture de sécurité informatique dans le service qui gère les noms de domaines. 40 / 45
Solutions et recommandations 3C Communication Coopération Coordination Trop de gens sont encore isolés dans leur coin, sans utiliser l’information publique, et sans échanger avec les pairs. 41 / 45
Solutions et recommandations DNSSEC 1 Objectif : détecter les empoisonnements de cache 2 Moyen : signature cryptographique des enregistrements 42 / 45
Solutions et recommandations DNSSEC, état 1 Tous les TLD importants signés, 2 Mais peu de domaines « utilisateur » signés, 3 Et peu de résolveurs validents (le principal est Comcast aux USA). 43 / 45
Conclusion Plan du tutoriel 1 Introduction 2 Résolution DNS 3 Avitaillement 4 Risques théoriques 5 Réalités 6 Solutions et recommandations 7 Conclusion 44 / 45
Conclusion Que faire ? 1 Encore beaucoup de progrès à faire 2 La plupart sur des pratiques de sécurité classiques 3 Quelques nouvelles techniques (DNSSEC. . . ) 45 / 45
Merci ! www.afnic.fr contact@afnic.fr Twitter : @AFNIC Facebook : afnic.fr

Recomendados

Networxx (intro et fin)
Networxx (intro et fin)Networxx (intro et fin)
Networxx (intro et fin)
Cyrille Dupuydauby
 
Comment votre pc peut il être piraté sur internet
Comment votre pc peut il être piraté sur internetComment votre pc peut il être piraté sur internet
Comment votre pc peut il être piraté sur internet
Ayoub Ouchlif
 
Bonjour bonsoir-bonnenuit-aurevoir-salut
Bonjour bonsoir-bonnenuit-aurevoir-salutBonjour bonsoir-bonnenuit-aurevoir-salut
Bonjour bonsoir-bonnenuit-aurevoir-salut
CatrinJames
 
Communication et Information en reseau
Communication et Information en reseauCommunication et Information en reseau
Communication et Information en reseau
Laura Manconi
 
Transformation Digitale - Menaces et opportunités (D. Eycken)
Transformation Digitale - Menaces et opportunités (D. Eycken)Transformation Digitale - Menaces et opportunités (D. Eycken)
Transformation Digitale - Menaces et opportunités (D. Eycken)
NRB
 
Syntec numerique 2011
Syntec numerique 2011Syntec numerique 2011
Syntec numerique 2011
Guymamoumani
 
Maladie mentale et toxicomanie
Maladie mentale et toxicomanieMaladie mentale et toxicomanie
Maladie mentale et toxicomanie
Patrice Machabee
 
Innovation Nouvelle Generation
Innovation Nouvelle GenerationInnovation Nouvelle Generation
Innovation Nouvelle Generation
Bpifrance
 

Recomendados

Networxx (intro et fin)
Networxx (intro et fin)Networxx (intro et fin)
Networxx (intro et fin)
Cyrille Dupuydauby
 
Comment votre pc peut il être piraté sur internet
Comment votre pc peut il être piraté sur internetComment votre pc peut il être piraté sur internet
Comment votre pc peut il être piraté sur internet
Ayoub Ouchlif
 
Bonjour bonsoir-bonnenuit-aurevoir-salut
Bonjour bonsoir-bonnenuit-aurevoir-salutBonjour bonsoir-bonnenuit-aurevoir-salut
Bonjour bonsoir-bonnenuit-aurevoir-salut
CatrinJames
 
Communication et Information en reseau
Communication et Information en reseauCommunication et Information en reseau
Communication et Information en reseau
Laura Manconi
 
Transformation Digitale - Menaces et opportunités (D. Eycken)
Transformation Digitale - Menaces et opportunités (D. Eycken)Transformation Digitale - Menaces et opportunités (D. Eycken)
Transformation Digitale - Menaces et opportunités (D. Eycken)
NRB
 
Syntec numerique 2011
Syntec numerique 2011Syntec numerique 2011
Syntec numerique 2011
Guymamoumani
 
Maladie mentale et toxicomanie
Maladie mentale et toxicomanieMaladie mentale et toxicomanie
Maladie mentale et toxicomanie
Patrice Machabee
 
Innovation Nouvelle Generation
Innovation Nouvelle GenerationInnovation Nouvelle Generation
Innovation Nouvelle Generation
Bpifrance
 
Business Model Canvas Tekki 48 Dakar 2014
Business Model Canvas Tekki 48 Dakar 2014Business Model Canvas Tekki 48 Dakar 2014
Business Model Canvas Tekki 48 Dakar 2014
Yann Le Beux
 
BlueXML Developer Studio
BlueXML Developer StudioBlueXML Developer Studio
BlueXML Developer Studio
bch
 
Global presentation on behalf of Enbridge
Global presentation on behalf of EnbridgeGlobal presentation on behalf of Enbridge
Global presentation on behalf of Enbridge
Lyndon Ward
 
Keynote: Speicher – Ein weiter Weg zur Marktreife
Keynote: Speicher – Ein weiter Weg zur MarktreifeKeynote: Speicher – Ein weiter Weg zur Marktreife
Keynote: Speicher – Ein weiter Weg zur Marktreife
Vattenfall_de
 
16 09 2013-meadows_c.mangeant
16 09 2013-meadows_c.mangeant16 09 2013-meadows_c.mangeant
16 09 2013-meadows_c.mangeant
The Shift Project
 
ECONOMIE GAZIERE
ECONOMIE GAZIEREECONOMIE GAZIERE
ECONOMIE GAZIERE
boudemagh nedjoua
 
Pyro Genesis Canada Inc Cleantuesday (20120123 Final Publique Pour Distribu...
Pyro Genesis Canada Inc Cleantuesday (20120123 Final Publique Pour Distribu...Pyro Genesis Canada Inc Cleantuesday (20120123 Final Publique Pour Distribu...
Pyro Genesis Canada Inc Cleantuesday (20120123 Final Publique Pour Distribu...
dianericard8
 
CV
CVCV
CV
François Lê
 
Quoi de neuf pour les bibliothèques en 2012
Quoi de neuf pour les bibliothèques en 2012Quoi de neuf pour les bibliothèques en 2012
Quoi de neuf pour les bibliothèques en 2012
Marc Maisonneuve
 
Systèmes de Gestion de Bibliothèque - une nouvelle génération?
Systèmes de Gestion de Bibliothèque - une nouvelle génération?Systèmes de Gestion de Bibliothèque - une nouvelle génération?
Systèmes de Gestion de Bibliothèque - une nouvelle génération?
Nicolas Morin
 
Riesgos higienicos de_la_soldadura
Riesgos higienicos de_la_soldaduraRiesgos higienicos de_la_soldadura
Riesgos higienicos de_la_soldadura
Amado Mora
 
Small and medium scale LNG for power generation
Small and medium scale LNG for power generationSmall and medium scale LNG for power generation
Small and medium scale LNG for power generation
Smart Power Generation
 
130405 fgg cateura la dynamique mondiale des gaz de schistes
130405 fgg cateura la dynamique mondiale des gaz de schistes130405 fgg cateura la dynamique mondiale des gaz de schistes
130405 fgg cateura la dynamique mondiale des gaz de schistes
Olivier CATEURA, PhD
 
Curso De Soldagem Mig Mag
Curso De Soldagem Mig MagCurso De Soldagem Mig Mag
Curso De Soldagem Mig Mag
wendelrocha
 
Domain Name System Security Extensions (aka. DNSSEC pour les intimes)
Domain Name System Security Extensions (aka. DNSSEC pour les intimes)Domain Name System Security Extensions (aka. DNSSEC pour les intimes)
Domain Name System Security Extensions (aka. DNSSEC pour les intimes)
felixaime
 
DNS et bien commun
DNS et bien communDNS et bien commun
DNS et bien commun
AnDaolVras
 
Comment exploiter le DNS par plaisir et appât du gain ? (Infoblox)
Comment exploiter le DNS par plaisir et appât du gain ? (Infoblox)Comment exploiter le DNS par plaisir et appât du gain ? (Infoblox)
Comment exploiter le DNS par plaisir et appât du gain ? (Infoblox)
Florian Magnat
 
une présentation de cyber security sur le déni de service
une présentation de cyber security sur le déni de serviceune présentation de cyber security sur le déni de service
une présentation de cyber security sur le déni de service
ZaynebMessaoudi1
 
DDoS, la nouvelle arme des hackers
DDoS, la nouvelle arme des hackersDDoS, la nouvelle arme des hackers
DDoS, la nouvelle arme des hackers
e-Xpert Solutions SA
 
Cira d zone overview risq-fr
Cira d zone overview risq-frCira d zone overview risq-fr
Cira d zone overview risq-fr
ColloqueRISQ
 
Au-delà du réseau - une défense simple en profondeur
Au-delà du réseau - une défense simple en profondeurAu-delà du réseau - une défense simple en profondeur
Au-delà du réseau - une défense simple en profondeur
ColloqueRISQ
 
DNSSEC : les extensions de sécurité du DNS
DNSSEC : les extensions de sécurité du DNSDNSSEC : les extensions de sécurité du DNS
DNSSEC : les extensions de sécurité du DNS
Afnic
 

Mais conteúdo relacionado

Destaque

BlueXML Developer Studio
BlueXML Developer StudioBlueXML Developer Studio
BlueXML Developer Studio
bch
 
Global presentation on behalf of Enbridge
Global presentation on behalf of EnbridgeGlobal presentation on behalf of Enbridge
Global presentation on behalf of Enbridge
Lyndon Ward
 
16 09 2013-meadows_c.mangeant
16 09 2013-meadows_c.mangeant16 09 2013-meadows_c.mangeant
16 09 2013-meadows_c.mangeant
The Shift Project
 
Pyro Genesis Canada Inc Cleantuesday (20120123 Final Publique Pour Distribu...
Pyro Genesis Canada Inc Cleantuesday (20120123 Final Publique Pour Distribu...Pyro Genesis Canada Inc Cleantuesday (20120123 Final Publique Pour Distribu...
Pyro Genesis Canada Inc Cleantuesday (20120123 Final Publique Pour Distribu...
dianericard8
 
Riesgos higienicos de_la_soldadura
Riesgos higienicos de_la_soldaduraRiesgos higienicos de_la_soldadura
Riesgos higienicos de_la_soldadura
Amado Mora
 
Curso De Soldagem Mig Mag
Curso De Soldagem Mig MagCurso De Soldagem Mig Mag
Curso De Soldagem Mig Mag
wendelrocha
 

Destaque (14)

Business Model Canvas Tekki 48 Dakar 2014
Business Model Canvas Tekki 48 Dakar 2014Business Model Canvas Tekki 48 Dakar 2014
Business Model Canvas Tekki 48 Dakar 2014
 
BlueXML Developer Studio
BlueXML Developer StudioBlueXML Developer Studio
BlueXML Developer Studio
 
Global presentation on behalf of Enbridge
Global presentation on behalf of EnbridgeGlobal presentation on behalf of Enbridge
Global presentation on behalf of Enbridge
 
Keynote: Speicher – Ein weiter Weg zur Marktreife
Keynote: Speicher – Ein weiter Weg zur MarktreifeKeynote: Speicher – Ein weiter Weg zur Marktreife
Keynote: Speicher – Ein weiter Weg zur Marktreife
 
16 09 2013-meadows_c.mangeant
16 09 2013-meadows_c.mangeant16 09 2013-meadows_c.mangeant
16 09 2013-meadows_c.mangeant
 
ECONOMIE GAZIERE
ECONOMIE GAZIEREECONOMIE GAZIERE
ECONOMIE GAZIERE
 
Pyro Genesis Canada Inc Cleantuesday (20120123 Final Publique Pour Distribu...
Pyro Genesis Canada Inc Cleantuesday (20120123 Final Publique Pour Distribu...Pyro Genesis Canada Inc Cleantuesday (20120123 Final Publique Pour Distribu...
Pyro Genesis Canada Inc Cleantuesday (20120123 Final Publique Pour Distribu...
 
CV
CVCV
CV
 
Quoi de neuf pour les bibliothèques en 2012
Quoi de neuf pour les bibliothèques en 2012Quoi de neuf pour les bibliothèques en 2012
Quoi de neuf pour les bibliothèques en 2012
 
Systèmes de Gestion de Bibliothèque - une nouvelle génération?
Systèmes de Gestion de Bibliothèque - une nouvelle génération?Systèmes de Gestion de Bibliothèque - une nouvelle génération?
Systèmes de Gestion de Bibliothèque - une nouvelle génération?
 
Riesgos higienicos de_la_soldadura
Riesgos higienicos de_la_soldaduraRiesgos higienicos de_la_soldadura
Riesgos higienicos de_la_soldadura
 
Small and medium scale LNG for power generation
Small and medium scale LNG for power generationSmall and medium scale LNG for power generation
Small and medium scale LNG for power generation
 
130405 fgg cateura la dynamique mondiale des gaz de schistes
130405 fgg cateura la dynamique mondiale des gaz de schistes130405 fgg cateura la dynamique mondiale des gaz de schistes
130405 fgg cateura la dynamique mondiale des gaz de schistes
 
Curso De Soldagem Mig Mag
Curso De Soldagem Mig MagCurso De Soldagem Mig Mag
Curso De Soldagem Mig Mag
 

Semelhante a JCSA 2012 Tutoriel Afnic par Stéphane Bortzmeyer : Securité des noms de domaines

JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...
Afnic
 

Semelhante a JCSA 2012 Tutoriel Afnic par Stéphane Bortzmeyer : Securité des noms de domaines (20)

Domain Name System Security Extensions (aka. DNSSEC pour les intimes)
Domain Name System Security Extensions (aka. DNSSEC pour les intimes)Domain Name System Security Extensions (aka. DNSSEC pour les intimes)
Domain Name System Security Extensions (aka. DNSSEC pour les intimes)
 
DNS et bien commun
DNS et bien communDNS et bien commun
DNS et bien commun
 
Comment exploiter le DNS par plaisir et appât du gain ? (Infoblox)
Comment exploiter le DNS par plaisir et appât du gain ? (Infoblox)Comment exploiter le DNS par plaisir et appât du gain ? (Infoblox)
Comment exploiter le DNS par plaisir et appât du gain ? (Infoblox)
 
une présentation de cyber security sur le déni de service
une présentation de cyber security sur le déni de serviceune présentation de cyber security sur le déni de service
une présentation de cyber security sur le déni de service
 
DDoS, la nouvelle arme des hackers
DDoS, la nouvelle arme des hackersDDoS, la nouvelle arme des hackers
DDoS, la nouvelle arme des hackers
 
Cira d zone overview risq-fr
Cira d zone overview risq-frCira d zone overview risq-fr
Cira d zone overview risq-fr
 
Au-delà du réseau - une défense simple en profondeur
Au-delà du réseau - une défense simple en profondeurAu-delà du réseau - une défense simple en profondeur
Au-delà du réseau - une défense simple en profondeur
 
DNSSEC : les extensions de sécurité du DNS
DNSSEC : les extensions de sécurité du DNSDNSSEC : les extensions de sécurité du DNS
DNSSEC : les extensions de sécurité du DNS
 
Hadoop en 1461 leçons
Hadoop en 1461 leçonsHadoop en 1461 leçons
Hadoop en 1461 leçons
 
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...
 
Decouverte de Services via le DNS (DNS-SD)
Decouverte de Services via le DNS (DNS-SD)Decouverte de Services via le DNS (DNS-SD)
Decouverte de Services via le DNS (DNS-SD)
 
5625
56255625
5625
 
Conséquences du filtrage Internet par le DNS
Conséquences du filtrage Internet par le DNSConséquences du filtrage Internet par le DNS
Conséquences du filtrage Internet par le DNS
 
Hackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrHackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg Fr
 
Attaques DDoS par Bruno Tréguier
Attaques DDoS par Bruno TréguierAttaques DDoS par Bruno Tréguier
Attaques DDoS par Bruno Tréguier
 
AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...
AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...
AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
 
Installation et configuration d'ads 2003
Installation et configuration d'ads 2003Installation et configuration d'ads 2003
Installation et configuration d'ads 2003
 
Séminaire DLP : au coeur de la sécurité
Séminaire DLP : au coeur de la sécuritéSéminaire DLP : au coeur de la sécurité
Séminaire DLP : au coeur de la sécurité
 
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
 

Mais de Afnic

Afnic Public Consultation overview on the Opening of 1 and 2 characters
Afnic Public Consultation overview on the Opening of 1 and 2 charactersAfnic Public Consultation overview on the Opening of 1 and 2 characters
Afnic Public Consultation overview on the Opening of 1 and 2 characters
Afnic
 

Mais de Afnic (20)

Alternative Dispute Resolution Trends 2015 (1st Semester)
Alternative Dispute Resolution Trends 2015 (1st Semester)Alternative Dispute Resolution Trends 2015 (1st Semester)
Alternative Dispute Resolution Trends 2015 (1st Semester)
 
Tendances PARL 2015 (1er trimestre)
Tendances PARL 2015 (1er trimestre)Tendances PARL 2015 (1er trimestre)
Tendances PARL 2015 (1er trimestre)
 
Securing Internet communications end-to-end with the DANE protocol
Securing Internet communications end-to-end with the DANE protocolSecuring Internet communications end-to-end with the DANE protocol
Securing Internet communications end-to-end with the DANE protocol
 
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANESécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
 
Deploying DNSSEC: what, how and where ?
Deploying DNSSEC: what, how and where ?Deploying DNSSEC: what, how and where ?
Deploying DNSSEC: what, how and where ?
 
Déployer DNSSEC, comment, quoi, où ?
Déployer DNSSEC, comment, quoi, où ?Déployer DNSSEC, comment, quoi, où ?
Déployer DNSSEC, comment, quoi, où ?
 
.fr domain name life cycle
.fr domain name life cycle .fr domain name life cycle
.fr domain name life cycle
 
Cycle de vie d'un nom de domaine en .fr
Cycle de vie d'un nom de domaine en .frCycle de vie d'un nom de domaine en .fr
Cycle de vie d'un nom de domaine en .fr
 
JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...
JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...
JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...
 
JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...
JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...
JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...
 
JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...
JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...
JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...
 
JCSA2013 05 Pascal Thubert - La frange polymorphe de l'Internet
JCSA2013 05 Pascal Thubert - La frange polymorphe de l'InternetJCSA2013 05 Pascal Thubert - La frange polymorphe de l'Internet
JCSA2013 05 Pascal Thubert - La frange polymorphe de l'Internet
 
JCSA2013 04 Laurent Toutain - La frange polymorphe de l'Internet
JCSA2013 04 Laurent Toutain - La frange polymorphe de l'InternetJCSA2013 04 Laurent Toutain - La frange polymorphe de l'Internet
JCSA2013 04 Laurent Toutain - La frange polymorphe de l'Internet
 
JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...
JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...
JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...
 
JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013
JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013
JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013
 
New gTLDs: a new Big Bang for domain names
New gTLDs: a new Big Bang for domain namesNew gTLDs: a new Big Bang for domain names
New gTLDs: a new Big Bang for domain names
 
Nouvelles extensions Internet : un nouveau Big Bang pour les noms de domaine
Nouvelles extensions Internet : un nouveau Big Bang pour les noms de domaineNouvelles extensions Internet : un nouveau Big Bang pour les noms de domaine
Nouvelles extensions Internet : un nouveau Big Bang pour les noms de domaine
 
Observatoire sur la résilience Internet en France-2012
Observatoire sur la résilience Internet en France-2012Observatoire sur la résilience Internet en France-2012
Observatoire sur la résilience Internet en France-2012
 
Afnic Public Consultation overview on the Opening of 1 and 2 characters
Afnic Public Consultation overview on the Opening of 1 and 2 charactersAfnic Public Consultation overview on the Opening of 1 and 2 characters
Afnic Public Consultation overview on the Opening of 1 and 2 characters
 
Synthèse de la Consultation publique Afnic sur l'ouverture 1 et 2 caractères
Synthèse de la Consultation publique Afnic sur l'ouverture 1 et 2 caractèresSynthèse de la Consultation publique Afnic sur l'ouverture 1 et 2 caractères
Synthèse de la Consultation publique Afnic sur l'ouverture 1 et 2 caractères
 

JCSA 2012 Tutoriel Afnic par Stéphane Bortzmeyer : Securité des noms de domaines

  • 1. Sécurité des noms de domaine Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr 1 / 45
  • 2. Sécurité des noms de domaine Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr 2 / 45
  • 3. Introduction Plan du tutoriel 1 Introduction 2 Résolution DNS 3 Avitaillement 4 Risques théoriques 5 Réalités 6 Solutions et recommandations 7 Conclusion 3 / 45
  • 4. Introduction Introduction Nous voulons tous de la sécurité pour nos noms. Mais quel genre de sécurité ? 1 Contre les pannes ? 1 Physiques ? 2 Logicielles ? 2 Contre les attaques ? Menées par qui ? 1 L’État ? 2 Le lycéen dans son garage ? 3 La mafia ? 3 Contre les cafouillages administratifs ? 1 Non-renouvellement 2 Hijacking 4 / 45
  • 5. Introduction SécuritéS Il n’y a pas la sécurité. Il y a plusieurs services de sécurité, parfois contradictoires : 1 La disponibilité (le service fonctionne) 2 L’intégrité (le service n’a pas été modifié subrepticement) 3 La confidentialité (le service ne laisse pas fuire des informations) Disponibilité et intégrité s’entendent souvent mal. 5 / 45
  • 6. Résolution DNS Plan du tutoriel 1 Introduction 2 Résolution DNS 3 Avitaillement 4 Risques théoriques 5 Réalités 6 Solutions et recommandations 7 Conclusion 6 / 45
  • 7. Résolution DNS Menaces contre la résolution DNS Résolution : demander aux serveurs DNS les informations associées à un nom de domaine (par exemple les adresses IP Il y a les serveurs résolveurs (typiquement fournis par le FAI) et les serveurs faisant autorité (ceux des titulaires de noms ou d’un hébergeur DNS). 7 / 45
  • 9. Résolution DNS Pannes matérielles Plein d’ennemis possibles : Pelleteuses (coupure de Prosodie en mai 2011) Femme de ménage Bâteau de pêche (dont l’ancre arrache les câbles) Écureuil (aux États-Unis, les câbles ne sont pas enterrés) 9 / 45
  • 10. Résolution DNS Pannes logicielles La seconde qui tue Le 1er juillet 2012, une bogue Linux liée à la seconde intercalaire plante de nombreux serveurs. Dont tous ceux du NIST (bureau états-unien des mesures). Tous les serveurs de time.gov sont en panne. Quand un domaine populaire s’arrête, tous les résolveurs se bloquent Le 19 mai 2009, presque tout l’Internet chinois paralysé par une panne du service de résolution de noms (attaque contre Baofeng, mais ayant rebondi sur les opérateurs réseaux). 10 / 45
  • 11. Résolution DNS Bogue au registre Le 12 octobre 2009, tous les noms de domaine suédois disparaissent pendant une heure. Le 12 mai 2010, les deux tiers des domaines allemands ont disparu pendant une heure et demie. 11 / 45
  • 12. Résolution DNS Attaque par déni de service Déni de service : attaque qui vise à empêcher le service de fonctionner. Il ne s’agit pas de prendre le contrôle du service, juste de l’arrêter. Par exemple, envoi d’une énorme quantité de données au serveur. . . qui n’arrive plus à suivre. Il ne peut plus alors répondre aux requêtes légitimes. Se défendre contre ces attaques est très difficile. 12 / 45
  • 13. Résolution DNS Exemples d’attaques par déni de service Le 23 décembre 2009, un grand libraire en ligne stoppé par une attaque DNS réussie. Attaque (ratée) contre les serveurs racine de février 2007. Mais aussi menaces non suivies d’effet comme le 31 mars 2012 contre la racine. Importante recrudescence des attaques par déni de service contre le DNS depuis décembre 2011. Les attaques sont devenues banales. 13 / 45
  • 14. Résolution DNS dDoS Il y a très longtemps que les pirates n’utilisent plus uniquement leurs propres machines ! Le pirate typique aujourd’hui est aux commandes d’un botnet (roBOT NETwork), des centaines de milliers de PC MS-Windows qui obéissent au doigt et à l’œil au C&C (Command & Control), le poste de commandement. 14 / 45
  • 15. Résolution DNS Modification des requêtes ou réponses dans le réseau Problème surtout étudié en Chine À l’intérieur du réseau, les réponses DNS sont modifiées (même si on avait demandé directement à un serveur étranger). 15 / 45
  • 16. Résolution DNS Modification des requêtes ou réponse par le résolveur Résolveurs menteurs Résolveurs du FAI qui donnent délibérement de fausses réponses. Motivation la plus courante : rediriger vers des pages de pub. Censure légale ARJEL en France, projets SOPA et PIPA aux États-Unis : le résolveur DNS a l’obligation légale de mentir (« www.romecasino.com n’existe pas ») 16 / 45
  • 17. Résolution DNS Résolveur menteur, pour le Bien ? 1 BIND a désormais un mécanisme pour le transformer en menteur, RPZ. Il permet en outre de distribuer les listes de domaines censurés via du transfert de zone. 2 Était-ce une bonne idée de filtrer les domaines potentiellement utilisés par le malware Conficker ? ikea, arte et sncf en ont été victime. Et Conficker n’a pas été stoppé. 17 / 45
  • 18. Résolution DNS Empoisonnement de cache (Kaminsky) Découverte en janvier 2008 par Dan Kaminsky, annoncée le 8 juillet 2008 puis publiée en août. A nécessité de patcher la plupart des résolveurs pour mettre des ports sources aléatoires. Exploite uniquement des failles connues mais avec un moyen de les rendre mille fois plus efficace. L’empoisonnement DNS était théoriquement possible, il devient facile. 18 / 45
  • 19. Résolution DNS Changement de résolveur 1 Les machines font une confiance aveugle à leur résolveur (peu valident elles-même avec DNSSEC). 2 Changer le résolveur permet de tout faire (le résolveur du méchant peut alors répondre que www.mabanque.example est 192.0.2.1, adresse contrôlée par le méchant). Exemple :DNS Changer Logiciel malveillant qui changeait les résolveurs. Le trafic était détourné vers des sites Web payants. Le FBI a piraté les résolveurs du méchant pour analyser le trafic. Le 9 juillet, ce détournement cesse et les « utilisateurs » de DNS Changer seront dans le noir. 19 / 45
  • 20. Résolution DNS Espionnage Le trafic DNS nous en apprend beaucoup. . . Tout gérant de serveur (faisant autorité ou résolveur) peut en apprendre sur les utilisateurs. 20 / 45
  • 21. Résolution DNS Attaques non techniques La lecture de certains journaux pourrait le faire oublier mais les attaques les plus courantes sont non techniques. Ingéniérie sociale (« j’ai oublié le nom du fichier où il avait le mot de passe, vous pouvez me le rappeler ? ») Un bon exemple est le hameçonnage « votre compte vient d’être crédité de 10 000 $, allez en http://192.0.2.1/form.php pour valider ce transfert » 21 / 45
  • 22. Avitaillement Plan du tutoriel 1 Introduction 2 Résolution DNS 3 Avitaillement 4 Risques théoriques 5 Réalités 6 Solutions et recommandations 7 Conclusion 22 / 45
  • 23. Avitaillement Enregistrement des noms Les noms de domaine sont enregistrés auprès d’un registre, souvent via un Bureau d’Enregistrement (BE), et hébergés chez un hébergeur DNS (souvent le BE). Chacun de ces acteurs peut être défaillant Par piratage ou malhonnêteté 23 / 45
  • 24. Avitaillement Piratage d’un BE Cas de google.co.ma en 2009 Piratage du BE (injection SQL) puis envoi des fausses données au registre 24 / 45
  • 25. Avitaillement Piratage d’un registre Piratage du registre .pr en 2009 Injection SQL au registre de Porto-Rico. microsoft.com.pr, dell.com.pr, etc redirigés 25 / 45
  • 26. Avitaillement Intermédiaire piraté ou malhonnête 1 Il peut y avoir d’autres acteurs, qui posent les mêmes problèmes de sécurité 2 Revendeur 3 Hébergeur DNS 26 / 45
  • 27. Avitaillement Saisie légale Opération « In Our Sites » L’ICE (U.S. Immigration and Customs Enforcement, agence états-unienne) a saisi auprès du registre de .com des centaines de noms (sans jugement). 27 / 45
  • 28. Avitaillement La loi est nationale Bien se rappeler qu’il n’existe pas de TLD « international ». Vous utilisez un .com, vous êtes soumis à la loi états-unienne. 28 / 45
  • 29. Avitaillement Se faire prendre son domaine légalement en France Pas de garantie pour le titulaire de noms de domaine Le domaine peut être pris au titulaire de bonne foi, par jugement (affaire Milka en 2005) ou bien par menaces juridiques (affaire Madame Figaro en 2012). 29 / 45
  • 30. Avitaillement Détournement Manœuvres pour mettre la main sur un domaine (envoi de faux messages du titulaire, par exemple) Connu grâce au célébrissime sex.com qui a ainsi changé de mains plusieurs fois (et qui a fait l’objet d’un livre, le seul nom de domaine dans ce cas) 30 / 45
  • 31. Risques théoriques Plan du tutoriel 1 Introduction 2 Résolution DNS 3 Avitaillement 4 Risques théoriques 5 Réalités 6 Solutions et recommandations 7 Conclusion 31 / 45
  • 32. Risques théoriques Certains risques sont surtout pour les conférences sécurité 1 Les orateurs aux conférences sécurité aiment bien les exposés techniques rigolos, même s’ils sont irréalistes. 2 Dans ces conférences, on voit donc souvent passer des « vulnérabilités » qui ne marcheront qu’en labo (souvenez-vous de BEAST...) 32 / 45
  • 33. Risques théoriques Exemple, les IDN 1 En outre, dans ces conférences, tout le monde parle anglais : on est donc sûr d’obtenir un succès en attaquant Unicode. 2 Exemple de légende urbaine répandue « Les IDN facilitent le hameçonnage, cìc.fr ressemble à cic.fr ». 3 Or, toutes les études sur le hameçonnage montrent que les utilisateurs ignorent l’URL, ne le comprenant pas (cic-secure.com. . . ). 4 Les spams de hameçonnage ne comprennent jamais d’URL et souvent uniquement des adresses IP ! 5 Mais le monde de la sécurité informatique n’est pas encore evidence-based. Les légendes ont la vie dure. 33 / 45
  • 34. Réalités Plan du tutoriel 1 Introduction 2 Résolution DNS 3 Avitaillement 4 Risques théoriques 5 Réalités 6 Solutions et recommandations 7 Conclusion 34 / 45
  • 35. Réalités Les attaques les plus courantes Les attaques purement DNS sont très minoritaires Ne vous focalisez pas sur les attaques techniques sophistiquées qui font la une. La plupart des attaques sont « bêtes » mais efficaces (ingéniérie sociale, faille exploitée par un script-kiddie, dDoS purement volumétrique). 35 / 45
  • 36. Solutions et recommandations Plan du tutoriel 1 Introduction 2 Résolution DNS 3 Avitaillement 4 Risques théoriques 5 Réalités 6 Solutions et recommandations 7 Conclusion 36 / 45
  • 37. Solutions et recommandations Redondance 1 Avec le DNS, c’est facile, la redondance d’un service faisant autorité est prévue dès le début (contrairement à HTTP), 2 Deux serveurs, ce n’est pas assez, mettez-en au moins quatre, 3 Sur-avitailler : machines et réseaux pouvant tenir trois à cinq fois la charge normale (pour les cas de dDoS), 4 Et, surtout, évitez le SPOF (Single Point of Failure). Ayez plusieurs sites physiques et, si possible, plusieurs opérateurs. . . 37 / 45
  • 38. Solutions et recommandations Diversité Une bogue BIND et tous vos domaines sont fichus ? Une bogue Linux et, le jour de la seconde intercalaire, aucun serveur ne marche ? Favoriser la diversité génétique Par exemple, il n’y a aucune raison de n’utiliser que BIND. « Nous vous rappelons qu’il existe d’autres possibilités. » 38 / 45
  • 39. Solutions et recommandations Supervision Surveiller l’état de ses domaines, pour éviter d’être prévenus par Slashdot et Zataz... (Surveiller le serveur Web est insuffisant.) Surveiller chaque serveur (autrement, vous serez prévenus seulement lorsque le dernier tombera en panne.) 39 / 45
  • 40. Solutions et recommandations Bonnes pratiques de sécurité Rien de spéficique aux noms de domaines, mais : 1 Bien vérifier la sécurité du système d’enregistrement (ne pas mettre le mot de passe de votre compte auprès du BE sur un post-it sur l’écran), et de l’hébergement DNS, 2 Attention à l’ingéniérie sociale (« Bonjour, ici le service technique de votre registrar, il y a un problème technique, nous aurions besoin du mot de passe. ») 3 Développer une culture de sécurité informatique dans le service qui gère les noms de domaines. 40 / 45
  • 41. Solutions et recommandations 3C Communication Coopération Coordination Trop de gens sont encore isolés dans leur coin, sans utiliser l’information publique, et sans échanger avec les pairs. 41 / 45
  • 42. Solutions et recommandations DNSSEC 1 Objectif : détecter les empoisonnements de cache 2 Moyen : signature cryptographique des enregistrements 42 / 45
  • 43. Solutions et recommandations DNSSEC, état 1 Tous les TLD importants signés, 2 Mais peu de domaines « utilisateur » signés, 3 Et peu de résolveurs validents (le principal est Comcast aux USA). 43 / 45
  • 44. Conclusion Plan du tutoriel 1 Introduction 2 Résolution DNS 3 Avitaillement 4 Risques théoriques 5 Réalités 6 Solutions et recommandations 7 Conclusion 44 / 45
  • 45. Conclusion Que faire ? 1 Encore beaucoup de progrès à faire 2 La plupart sur des pratiques de sécurité classiques 3 Quelques nouvelles techniques (DNSSEC. . . ) 45 / 45
  • 46. Merci ! www.afnic.fr contact@afnic.fr Twitter : @AFNIC Facebook : afnic.fr