My IBM Se connecter S’abonner

Accueil

Thèmes

DNSSEC

 Qu’est-ce que le protocole DNSSEC (extensions de sécurité DNS) ?

Qu’est-ce que le protocole DNSSEC (extensions de sécurité DNS) ?
Découvrir nos solutions DNS S’abonner aux mises à jour sur l’IA
Illustration par un collage de pictogrammes représentant une roue dentée, un bras robotisé, un téléphone mobile

Publication : 8 mars 2024
Contributeurs : Tasmiha Khan, Michael Goodwin
Qu’est-ce que le protocole DNSSEC (extensions de sécurité DNS) ?

Qu’est-ce que le protocole DNSSEC (extensions de sécurité DNS) ?

Le protocole DNSSEC est une fonctionnalité du DNS (Domain Name System) qui utilise l’authentification cryptographique pour vérifier que les enregistrements DNS renvoyés dans une requête DNS proviennent d’un serveur de noms faisant autorité et qu’ils ne sont pas modifiés en cours de route.

En d’autres termes, le DNSSEC permet de s’assurer que les utilisateurs sont bien dirigés vers le site web qu’ils recherchent, et non vers un faux site. Bien qu’il ne garantisse pas la confidentialité des recherches (Transport Layer Security ou TLS est un protocole de sécurité conçu pour assurer la confidentialité sur Internet), il empêche les entités malveillantes d’insérer des réponses DNS qui ont été manipulées dans les requêtes DNS.

Le protocole DNSSEC (abréviation de Domain Name System Security Extensions) permet d’étendre le protocole DNS et de remédier aux vulnérabilités du DNS qui exposent le système à diverses cyberattaques, telles que l’usurpation d’identité, l’empoisonnement du cache DNS, les attaques de type « homme du milieu » et d’autres modifications non autorisées des données DNS. Le déploiement du DNSSEC permet de renforcer la protection du DNS contre ces risques potentiels, en fournissant une infrastructure Internet plus sécurisée et plus fiable. Lorsqu’un résolveur DNS demande des informations, les réponses à la recherche DNS sont validées par la vérification des signatures numériques, confirmant l’authenticité et l’intégrité des données reçues.

Les cybermenaces continuant d’évoluer, la demande en mesures de sécurité robustes, comme le protocole DNSSEC, est susceptible d’augmenter. Des organisations comme l’ICANN (Internet Corporation for Assigned Names and Numbers) promeuvent activement son adoption mondiale, ce qui indique une reconnaissance croissante de son rôle essentiel dans la sécurité DNS.

  
Guide sur l’IA et l’automatisation informatique

Le Guide de l’entreprise pour l’IA et l’automatisation informatique offre un aperçu approfondi de l’automatisation informatique alimentée par l’IA, y compris pourquoi et comment l’utiliser, les problèmes qui bloquent vos efforts et comment commencer.
Contenu connexe Abonnez-vous à la newsletter IBM
Types d’enregistrements DNS et termes associés

Types d’enregistrements DNS et termes associés

Pour sécuriser le DNS, les extensions de sécurité DNS ajoutent des signatures cryptographiques aux enregistrements DNS existants. Ces signatures sont stockées dans des serveurs de noms DNS avec d’autres types d’enregistrements DNS, comme les enregistrements A (qui créent une connexion directe entre une adresse IPv4 et un nom de domaine), les enregistrements AAAA (qui connectent les noms de domaine aux adresses IPv6), les enregistrements MX (qui dirigent les e-mails vers un serveur de messagerie de domaine) et les enregistrements CNAME (qui mappent les alias à leurs véritables noms de domaine, ou noms de domaine « canoniques »).

Autres enregistrements et termes associés utiles pour comprendre le fonctionnement du protocole DNSSEC :
Enregistrements DS (enregistrements Delegation Signer)

Les enregistrements DS permettent d’établir une chaîne de confiance sécurisée entre une zone parent et une zone enfant. Ils contiennent le hachage cryptographique d’un enregistrement DNSKEY.
Enregistrements DNSKEY

Les enregistrements DNSKEY (également appelés clés DNSSEC) stockent les clés publiques associées à une zone DNS particulière. Ces clés permettent de vérifier les signatures numériques et de garantir l’authenticité et l’intégrité des données DNS au sein de cette zone.
Enregistrements RRSIG (enregistrements Resource Record Signature)

Les enregistrements RRSIG contiennent une signature cryptographique associée à un ensemble d’enregistrements de ressources DNS.
RRset (Resource Record Set)

Il s’agit de l’ensemble des enregistrements de ressources d’un type spécifique associé à un nom particulier dans le DNS. Par exemple, si vous avez deux adresses IP associées à « exemple.com », les enregistrements A de ces adresses seront regroupés pour former un RRset.
Enregistrements NSEC (Next Secure Records)

Cet enregistrement répertorie les types d’enregistrements qui existent pour un domaine et il est utilisé pour indiquer le déni d’existence authentifié d’un nom de domaine spécifique. Cela implique le renvoi de l’enregistrement « next secure ». Par exemple, si un résolveur récursif interroge un serveur de noms à la recherche d’un enregistrement qui n’existe pas, le serveur de noms renvoie un autre enregistrement, le « next secure record » défini sur le serveur, indiquant que l’enregistrement demandé n’existe pas.
NSEC3 (Next Secure Version 3)

Il s’agit d’une amélioration apportée aux enregistrements NSEC. Cet enregistrement améliore la sécurité, car il complique la tâche aux pirates souhaitant prédire ou deviner les noms des domaines existants dans une zone. Il fonctionne de manière similaire aux enregistrements NSEC, mais il utilise des noms d’enregistrements avec hachage cryptographique pour éviter de lister les noms dans une zone particulière.
Clés de signature de zone (ZSK)

Les paires de clés de signature de zone (une clé publique et une clé privée) sont des clés d’authentification utilisées pour signer et vérifier un RRset. Dans le DNSSEC, chaque zone possède une paire ZSK. La clé privée est utilisée pour créer des signatures numériques pour le RRSet. Ces signatures sont stockées sous forme d’enregistrements RRSIG sur le serveur de noms. La clé publique associée, stockée dans un enregistrement DNSKEY, vérifie les signatures, confirmant l’authenticité du RRset. Cependant, des mesures supplémentaires sont nécessaires pour valider la clé ZSK publique. Pour cela, une clé de signature de clé est utilisée.
Clé de signature de clé (KSK)

Une clé de signature de clé est une autre paire de clés publiques/privées utilisée pour vérifier que la clé de signature de la zone publique n’est pas compromise. 
Fonctionnement du protocole DNSSEC

Fonctionnement du protocole DNSSEC

Les extensions de sécurité DNS fournissent un cadre sécurisé par cryptographie conçu pour améliorer la sécurité et la fiabilité du DNS. Essentiellement, le DNSSEC utilise un système de paires de clés publiques et privées. Pour activer la validation DNSSEC, un administrateur de zone génère des signatures numériques (stockées sous forme d’enregistrements RRSIG) à l’aide de la clé de signature de zone privée et d’une clé publique correspondante, distribuée en tant qu’enregistrement DNSKEY. Une clé de signature de clé est utilisée pour signer et authentifier la clé ZSK, offrant une couche de sécurité supplémentaire.

Les résolveurs DNS, lorsqu’ils sont interrogés, récupèrent le RRset demandé et l’enregistrement RRSIG associé, qui contient la clé de signature de zone privée. Le résolveur demande ensuite l’enregistrement DNSKEY contenant la clé ZSK publique. Ensemble, ces trois actifs valident la réponse reçue par le résolveur. Cependant, l’authenticité de la clé ZSK publique doit encore être vérifiée. C’est là que les clés de signature de clé entrent en jeu.

La clé de signature de clé est utilisée pour signer la ZSK publique et créer un RRSIG pour l’enregistrement DNSKEY. Le serveur de noms publie une KSK publique dans un enregistrement DNSKEY, comme il l’a fait pour la ZSK publique. Cela crée un RRset contenant les deux enregistrements DNSKEY. Ils sont signés par la KSK privée et validés par la KSK publique. Cette authentification valide la ZSK publique (c’est-à-dire l’objectif de la KSK) et vérifie l’authenticité du RRset demandé.
Chaîne de confiance DNS

Chaîne de confiance DNS

Le DNSSEC fonctionne sur le principe de l’établissement d’une « chaîne de confiance » dans toute la hiérarchie du DNS, et la signature des données DNS à chaque niveau pour créer un chemin vérifiable qui garantit l’intégrité et l’authenticité des données. Chaque maillon de la chaîne est sécurisé par des signatures numériques, créant ainsi une ancre de confiance qui commence aux serveurs de la zone racine et s’étend aux serveurs de domaine de premier niveau (TLD) jusqu’aux serveurs DNS faisant autorité pour les domaines individuels.

Les enregistrements Delegation Signer (DS) sont utilisés pour permettre le transfert de confiance d’une zone parent vers une zone enfant. Lorsqu’un résolveur est redirigé vers une zone enfant, la zone parent fournit un enregistrement DS contenant un hachage de son enregistrement DNSKEY. Celui-ci est comparé au hachage de la KSK publique de la zone enfant. S’ils correspondent, l’authenticité de la KSK publique est établie, et le résolveur détermine que les enregistrements du sous-domaine (zone enfant) sont fiables. Ce processus fonctionne de zone en zone, établissant une chaîne de confiance.
DNSSEC et sécurité DNS

DNSSEC et sécurité DNS

Le DNSSEC et la sécurité DNS sont des concepts connexes dans le domaine de la sécurité Internet, chacun ayant un objectif et un périmètre distincts. Le protocole DNSSEC fait spécifiquement référence à un ensemble d’extensions DNS conçues pour renforcer la sécurité du système de noms de domaine. Son objectif principal est de garantir l’intégrité et l’authenticité des enregistrements DNS grâce à la cryptographie à clés privées et publiques.

La sécurité DNS est un terme plus vaste, qui désigne une approche complète visant à sécuriser l’ensemble de l’environnement DNS. Alors que le DNSSEC est un composant essentiel de la sécurité DNS, le champ d’application de la sécurité DNS s’étend au-delà de ses protocoles spécifiques. La sécurité DNS permet de répondre à un large éventail de menaces, notamment aux attaques par déni de service distribué (DDoS) et au vol de domaine, en proposant une stratégie globale de protection contre les activités malveillantes susceptibles de compromettre l’infrastructure DNS.  
Solutions connexes

Solutions connexes

IBM NS1 Connect Managed DNS

Le service IBM NS1 Connect Managed DNS fournit des connexions DNS résilientes, rapides et fiables pour éviter les pannes de réseau et permettre à votre entreprise de rester en ligne en permanence.

 Découvrir IBM NS1 Connect Managed DNS Demander une démo en direct
IBM Cloud DNS Services

IBM Cloud DNS Services propose des services DNS public et DNS privé faisant autorité offrant un temps de réponse rapide, une redondance inégalée et une sécurité avancée, gérés via l’interface Web IBM Cloud ou par API.

 Découvrir IBM Cloud DNS Services
Résilience et disponibilité du réseau DNS IBM

Améliorez la résilience et la disponibilité des applications grâce à un réseau mondial et à des capacités avancées de direction du trafic DNS.

 Découvrir la résilience et la disponibilité du réseau DNS IBM
Ressources

Ressources

Qu’est-ce que le système de noms de domaine (DNS) ?

Le DNS permet aux utilisateurs de se connecter à des sites web en utilisant des URL plutôt que des adresses IP (Internet Protocol) numériques.

 Qu’est-ce qu’un serveur DNS ?

Les serveurs DNS traduisent les noms de domaine des sites que les utilisateurs recherchent dans les navigateurs web en adresses IP numériques. Ce processus est connu sous le nom de résolution DNS.

Que sont les enregistrements DNS ?

Un enregistrement DNS (Domain Name System) est un ensemble d’instructions utilisées pour connecter les noms de domaine aux adresses IP (Internet Protocol) au sein des serveurs DNS.

Qu’est-ce que la mise en réseau ?

Découvrez le fonctionnement des réseaux informatiques, l’architecture utilisée pour concevoir des réseaux et la façon de les sécuriser.

 Qu’est-ce que la sécurité réseau ?

La sécurité réseau est le domaine de la cybersécurité qui se concentre sur la protection des réseaux et des systèmes informatiques contre les cybermenaces et les cyberattaques internes et externes.

 Qu’est-ce que la sécurité des bases de données ?

La sécurité des bases de données fait référence à la gamme d’outils, de contrôles et de mesures conçus pour établir et préserver la confidentialité, l’intégrité et la disponibilité des bases de données.
Passez à l’étape suivante

IBM NS1 Connect fournit des connexions rapides et sécurisées aux utilisateurs partout dans le monde avec un DNS premium et une gestion avancée et personnalisable du trafic. L’architecture « always-on » et orientée API de NS1 Connect permet à vos équipes informatiques de surveiller les réseaux, de déployer des modifications et d’effectuer une maintenance de routine de manière plus efficace.

 Découvrir NS1 Connect Réserver une démo en direct
Produits Essais gratuits de logiciels IBM Réductions et offres spéciales Services Secteurs d'activité Études de cas Financement Nos partenaires stratégiques Rechercher un partenaire commercial Partenaires commerciaux - IBM Partner Plus Devenir partenaire - IBM Partner Plus Se connecter à IBM Partner Plus IBM Consulting IBM Research Développeurs Support À propos d'IBM Contacter IBM Carrières et emplois Evénements IBM Innovation Studio Relation investisseurs Newsroom LinkedIn Youtube Podcasts en français Podcasts en anglais Blogs IBM TechXchange Community Recevoir les toutes dernières actualités L'expérience utilisateur IBM France — Français Contact Données personnelles Conditions d'utilisation Accessibilité