Chaque mois, l'actualité mondiale des noms de domaine


Pour vous abonner à DNS News

Pour vous abonner gratuitement à DNS News, veuillez écrire à

dnsnews-subscribe@yahoogroups.com


Qui sommes-nous?

Loïc Damilaville


Editeur de DNS News depuis 1998, Loïc Damilaville travaille depuis 1997 sur les problématiques liées aux noms de domaine.

Il a fondé en 2005 le Club Noms de domaine, destiné à réunir les personnes en charge des noms de domaine au sein des grandes enteprises.

Il est auteur du Livre blanc sur la gestion des noms de domaine parrainé par l'ACSEL, l'AFNIC, l'APCE, l'APRAM, la CCIP, le CEFAC, le CIGREF, le Club de l'économie numérique, l'INPI, l'ISOC France, le MEDEF, le Ministère de l'économie, des finances et de l'emploi, et l'Union des Fabricants.

Loïc Damilaville est adjoint au directeur général de l'AFNIC.

Il mène aussi des missions de conseil auprès des grands comptes pour les assister dans l'élaboration, la mise en place et le suivi de leurs stratégies de nommage et de présence sur internet.

Contact:
loic[at]dns-news.fr
ou 01 49 73 79 06

IL Y A DIX ANS - DNS News n°141



DNSSEC et IPv6, les deux grands défis du DNS pour les années à venir ?

Au milieu d’une actualité comme toujours assez riche, c’est sans doute le début du processus de signature de la racine avec DNSSEC, initié le 27 janvier sur le serveur L géré par l’ICANN (1), qui restera l’un des moments forts de l’histoire technique de l’Internet. Ce déploiement se fera progressivement et devrait s’achever en mai prochain. Nombre de registres ont déjà communiqué sur le fait qu’ils « signent » leur zone ou se préparent à le faire, mais ils ne sont pas les seuls concernés. Ainsi d’un communiqué de l’AFNIC (2) invitant les responsables techniques réseaux à se prémunir contre d’éventuelles mauvaises surprises à compter du moment où DNSSEC sera implémenté sur tous les serveurs du système racine. Il semble, à en juger par ce qui se passe dans les pays ayant déjà déployé DNSSEC, que cette évolution majeure est peu connue, et donc peu anticipée. Les registres se font un devoir de « signer » leur zone mais l’étape ultérieure, qui intéresse plus spécifiquement les gestionnaires de serveurs DNS, ne parait pas susciter beaucoup d’engouement. Un bel exemple de cette situation est donné par les agences gouvernementales américaines, dont 80% n’auraient pas respecté l’échéance qui leur avait été fixée au 31/12/2009 pour déployer DNSSEC (le .GOV étant signé depuis plusieurs mois). Faut-il s’attendre à une inertie comparable à celle qui touche IPv6 à la grande inquiétude des spécialistes (4) ? Les attaques visant à exploiter des failles de sécurité du DNS se multiplient pourtant (5), et il est chaque jour plus dangereux de ne rien faire.
En l’absence de « carotte », on eut espérer que le « bâton » sera plus écouté. DNSSEC n’est ainsi devenu un impératif qu’après la divulgation de la Faille Kaminski durant l’été 2008. C’était auparavant une option intéressante, mais sans caractère urgent, parmi tant d’autres dans les problématiques de sécurisation du DNS. Un récent rapport de la société Arbor Networks pourrait enrichir le débat (6). S’intéressant plus particulièrement aux infrastructures du DNS, il indique que les attaques par déni de service sont les plus redoutées par les spécialistes interrogés, et met en garde – toujours sur la base de l’enquête réalisée – contre une situation à haut risque provoquée par la conjonction de la migration accélérée vers IPv6 et de l’implémentation de DNSSEC : “Any one of these changes alone would constitute a significant architectural and operational challenge for network operators; considered together, they represent the greatest and potentially most disruptive set of circumstances in the history of the Internet, given its growth in importance to worldwide communications and commerce. [...] "Today, the majority of global business networks are entirely reliant on Internet availability, stability and integrity. With the introduction of DNSSEC, IPv4 exhaustion and IPv6 deployment, these networks are facing a perfect storm: multiple, simultaneous, large-scale changes." »
Ces analyses condamnent a posteriori l’attentisme qui a prévalu chez maints opérateurs. Comment expliquer le retard pris à déployer IPv6 alors que la raréfaction des adresses IPv4 est un phénomène identifié depuis plusieurs décennies et qu’IPv6 est stabilisé depuis au moins 10 ans ? Les arguments mis en avant se drapent dans les problématiques de sécurité, tout en renvoyant implicitement à la dialectique du plombier et de l’électricien. Ici, la communauté interrogée par Arbor Networks incrimine ainsi les fabricants de routeurs et de pare-feux, qui pour leur part expliqueront sans doute qu’ils peuvent tout faire si quelqu’un est prêt à payer pour cela : “A majority of surveyed providers reported concerns over the security implications of IPv6 adoption, and the slow rate of IPv4 to IPv6 migration, or at least the parallel deployment of IPv6. As in previous years, providers complained of missing IPv6 security features in routers, firewalls and other critical network infrastructure. Other providers worried the lack of IPv6 testing and deployment experience may lead to significant Internet-wide security vulnerabilities.”
A suivre...

Samedi 1 Février 2020
Loic Damilaville
Lu 53 fois

Présentation | Analyses générales | Gouvernance Internet | Juridique | Sommaires anciens n°