Aller au contenu principal

Il y a quelques années, DynDNS a subi une panne de DNS qui a causé une perturbation massive de l’Internet. J’ai l’impression que cela fait une éternité, dans le temps où j’avais des traits plus jeunes (ce qui est vrai, en partie) et plus de cheveux (ce qui est malheureusement faux).  J’ai appris depuis lors à ne plus me préoccuper de mon âge, mais qu’ont appris les organisations quant à leur DNS depuis cet événement? Le problème est qu’elles n’ont pas suffisamment appris, et nous le constatons dans le cadre de la récente situation causée par une panne chez Akamai, qui a entraîné la panne de plusieurs importants sites Web de premier niveau, comme ceux de PlayStation, d’Airbnb, de Steam et plusieurs autres.

Un article de ZDNet présente quelques analyses afin d’illustrer le fait que plusieurs des organisations touchées par la panne de 2016 n’ont pris aucune mesure pour remédier à ce point de défaillance catastrophique. En fait, le problème n’a fait que s’aggraver dans l’ensemble d’Internet en raison de la concentration des services dans quelques fournisseurs de services infonuagiques.

Plusieurs articles, dont l’un des nôtres, traitent de la façon de régler ce problème grâce à une sauvegarde de DNS secondaire. Nous soutenons fermement cette idée, car l’ajout d’une redondance à un domaine est une solution très peu coûteuse, considérant que votre domaine contrôle tout.  Vous ne me croyez pas?  Voici une liste de 20 applications qui dépendent de votre domaine que j’ai dressée en à peine deux minutes.

Ce n’est pas négligeable.  Parmi nos utilisateurs du DNS Firewall seulement, nous avons enregistré six millions de défaillances lors de cette récente panne, et s’il n’y avait aucune configuration de sauvegarde, elles n’ont pas pu être résolues.

Prenez par exemple un service de police canadien qui ne répondait pas aux appels. Après avoir étudié la situation de plus près, nous avons constaté qu’il utilisait un seul fournisseur de serveur de noms. Une panne Web à court terme pourrait empêcher quelqu’un de trouver une adresse ou un numéro de téléphone, mais une panne plus importante pourrait avoir des répercussions sur des activités :

DNS review

En toute honnêteté, Akamai est un de nos importants partenaires en matière de cybersécurité ainsi qu’un de nos fournisseurs de propriétés Web. Nous utilisons leurs services DNS, mais aussi nos propres services DNS afin de nous assurer que nos propriétés demeurent accessibles. Cela signifie que notre propre site Web CIRA.ca et toutes nos applications qui dépendent du DNS n’ont pas connu de panne même si nous sommes client d’Akamai. En résumé, même si nous sommes très satisfaits de leurs services, nous avons ajouté une couche supplémentaire à notre DNS.

Du côté des logiciels malveillants et de l’hameçonnage, les Services de cybersécurité de CIRA utilisent la technologie d’Akamai dans leurs services de DNS Firewall et de Bouclier canadien de CIRA. Je vous le dis bien franchement : cette technologie de DNS récursif N’EST PAS du tout touchée par la panne du DNS faisant autorité. Si vous êtes un client utilisant le DNS Firewall de CIRA ou un utilisateur à domicile utilisant gratuitement le Bouclier canadien de CIRA, votre système de sécurité est toujours fonctionnel.

Voici les mesures prises par CIRA pour aider ses clients utilisant ses services de cybersécurité à être résilients en cas de panne :

  1. Nous utilisons le service Anycast DNS de CIRA comme sauvegarde secondaire de votre DNS primaire. Si vous n’êtes pas un client, il est recommandé de prévoir une sauvegarde de votre DNS faisant autorité; consultez cet article pour plus de détails.
  2. Si vous êtes un client utilisant le DNS Firewall de CIRA, vous ne savez sûrement pas que nous avons configuré ces serveurs de sorte qu’ils n’utilisent pas le TTL sur l’enregistrement DNS si le serveur ne répond pas, du moins pour une courte période. En cas de panne, les serveurs continueront de fonctionner au moyen de l’ancien enregistrement DNS. Cela signifie que, pour les clients utilisant ce service, 99,9 % des entrées DNS d’Internet seront tout de même résolues. Seules les modifications très récentes pourraient ne pas l’être. Puisque le DNS nécessite une journée entière pour propager les données dans les serveurs situés dans le monde entier, ce scénario représente une situation « presque normale » en cas de panne de courte durée, car vous devez présumer que vos nouveaux enregistrements ne seront pas propagés instantanément dans tous les résolveurs récursifs de la planète.

 

Il est plutôt génial de constater à quel point le DNS peut être redondant et fiable lorsqu’il est utilisé par des gestionnaires à temps plein. Tirer parti de fournisseurs de services infonuagiques comme CIRA permet de s’assurer qu’il demeure fonctionnel, car s’il y a bien une chose que l’on sait au sujet de la technologie, c’est qu’il existe toujours un risque à atténuer.