MàJ : Une précision a été apportée pour souligner que l'Icann parle du risque d'attaques informatiques et fait allusion à certaines ayant eu lieu au cours de ces derniers mois.

-----

En charge de l'attribution des noms de domaine sur Internet, l'organisme international ICANN (Internet Corporation for Assigned Names and Numbers) a alerté à propos du risque d'attaques informatiques visant à compromettre des éléments dits clés de l'infrastructure DNS (Domain Name System).

C'est loin d'être la première fois que des attaques ciblent le système permettant de faire le lien entre un nom de domaine Internet et une adresse IP. En se basant sur plusieurs rapports (Cisco Talos et FireEye avaient déjà alerté à ce sujet), l'Icann évoque un ensemble d'attaques avec diverses tactiques.

Certaines de ces attaques exploitent le détournement de DNS. Le but est de remplacer des adresses de serveurs pris pour cible par des adresses de machines sous le contrôle des attaquants.

En début d'année, FireEye expliquait la difficulté d'identifier un unique vecteur d'intrusion et de connaître avec précision le mécanisme via lequel des enregistrements DNS ont été altérés. Au moins certains d'entre eux ont été modifiés à la suite de la compromission du compte d'un registraire de nom de domaine. La société de cybersécurité avait en outre suggéré des attaques en lien avec l'Iran.

De son côté, l'Icann en profite pour recommander le déploiement de DNSSEC sur tous les domaines, comme cela a été fait sur les serveurs racine de l'Internet qui coordonnent le fonctionnement des noms de domaine. Une recommandation qui n'est pas nouvelle elle non plus.

Reste que l'organisme reconnaît que cela ne résoudra pas les problèmes de sécurité d'Internet. DNSSEC " vise à garantir que les internautes atteignent la destination en ligne souhaitée en aidant à prévenir les attaques dites ' man in the middle ' qui les redirigent insidieusement vers un site potentiellement malveillant. "

DNSSEC - Domain Name System Security Extensions - est une technologie en complément de HTTPS par exemple. Elle sert aussi (et surtout) à combattre les attaques de type empoisonnement de cache DNS où une requête sauvegardée pour un site web est détournée pour diriger l'internaute vers un faux site.

Selon la définition de l'Afnic, les extensions de sécurité du protocole DNS sous l'égide de DNSSEC " utilisent les mécanismes de la signature cryptographique asymétrique pour authentifier les enregistrements. Les signatures et les clés publiques se présentent sous la forme de nouveaux enregistrements complémentaires et permettent d'assurer l'authentification. "