Aller au contenu principal

Si vous avez soumis votre système au test de performance Internet de l'ACEI, vous avez peut-être reçu le message suivant en ce qui concerne les extensions de sécurité du DNS (DNSSEC).

Ne l’ignorez pas (mais ne vous inquiétez pas trop, poursuivez votre lecture et prenez les mesures nécessaires). Un test échoué signifie que votre système est vulnérable au piratage de système de noms de domaine, ce qui veut dire qu’un pirate informatique peut modifier l’information sur le DNS pour prendre les commandes d’un domaine auquel vous tenter d’accéder en toute légalité. Les DNSSEC constituent une technologie relativement nouvelle développée par la communauté Internet afin de prévenir ce type d’attaque. 

Ces attaques peuvent se produire à n’importe quel point d’intersection sur Internet, peu importe le réseau. À moins que les développeurs d’applications, les entreprises et les fournisseurs de services Internet (FSI) adoptent les DNSSEC à l’échelle du pays, les internautes canadiens demeurent vulnérables à ces attaques, ignorant souvent qu’ils en ont été victimes. Pour l’utilisateur moyen, ce piratage se traduit par une attaque par usurpation, ce qui signifie qu’au lieu d’accéder au site Web souhaité, l’utilisateur est redirigé vers le site Web choisi par le pirate. Un tel exploit DNS peut également viser à rediriger les courriels vers un serveur de courriel inconnu où ils feront un arrêt avant de reprendre leur route vers le destinataire approprié. 

Pour réaliser la partie du test de performance de l'ACEI visant à déterminer la capacité en matière de DNSSEC, votre système, votre réseau domestique, votre FSI ainsi que le site que vous visitez doivent pouvoir prendre en charge les nouvelles fonctionnalités DNS permettant d’effectuer la validation DNSSEC.

Expliquer l’échec

Il est fort possible que le site que vous visitez ou que votre fournisseur de services Internet ne prend pas en charge la fonction de sécurité du DNS. Au début de 2015, il a été démontré que seulement 12 % des serveurs récursifs au Canada (ceux qui font fonctionner Internet) étaient compatibles DNSSEC. Il s’agit d’un très faible pourcentage étant donné que notre voisin du sud (les É.-U.) en comptait près du double, soit 23 %

À l’échelle mondiale, les DNSSEC affichent un taux de pénétration modeste dans plus de 35 pays (que nous définissons dans le cadre de ce texte comme plus de 30 % des serveurs capables de les valider). Cela comprend des pays de l’OCDE comparables au Canada, notamment la Suède (67 %) et la Finlande (41 %).

Quelles mesures pouvez-vous prendre?

Mettez la main à la pâte. Pouvez-vous influer sur l’avenir? Bien sûr que vous le pouvez. Plusieurs FSI canadiens font preuve de leadership en matière de sécurité du DNS. Cet outil pratique indique le taux de pénétration des DNSSEC par pays et par numéro de système autonome (ASN) – un numéro de système autonome constitue la pièce d’identité d’un opérateur de réseau d’un FSI.
Si vous êtes propriétaire de site Web et que vous souhaitez le protéger dans toute la mesure du possible, communiquez avec votre FSI et demandez-lui de faire le nécessaire en ce qui concerne les DNSSEC. Lorsqu’ils seront adoptés partout au Canada, Internet y sera plus sûr et plus sécurisé.