(https://static.chez-oim.org/img/dnssec.png)
Salut tous,
Les attaques contre le système DNS deviennent de plus en plus fréquentes et commencent à être d'une efficacité redoutable.
L'ICANN, l'autorité suprême du net qui délivre les adresses IP, a fait les frais de ces attaques en étant visée directement.
Ces attaques ont pour but de prendre la main sur un ou des domaines particuliers pour les rediriger vers des sites clones pirates. Vous pensez être sur le site de vote banque, la page est la même, l'adresse indiquée dans la barre d'adresse du navigateur est la bonne, mais vous êtes sur le site d'un enfoiré du net qui va récupérer toutes vos données confidentielles (login, mot de passe, etc.)...
Voilà le piège de ces attaques, elles sont sournoises parce-que invisibles aux yeux des internautes. Une adresse correcte pourra quand même vous expédier sur une page vérolée.
Dans un avenir proche, il est très probable que le DNS ne soit plus aussi fiable qu'on le connaissait en raison de ces attaques. Si rien n'est fait, bien entendu.
Pour cette raison, chez oim a décidé de déployer DNSSEC sur notre serveur DNS. DNSSEC est la seule parade aux enfoirés du net qui s'attaquent au DNS.
DNSSEC est un système relativement simple.
Il s'agit de signer numériquement chaque enregistrement d'un domaine à l'aide d'une clé privée qui est secrète, bien entendu. Le serveur interrogeant un DNS protégé avec DNSSEC n'aura qu'à simplement vérifier que la signature est correcte à l'aide de la clé publique divulguée sur le DNS lui même. Si la signature n'est pas valide ou inexistante, il ne sera pas possible de visiter le site voulu qui fait l'objet d'une attaque.
Cette stratégie est la seule parade face aux enfoirés du net s'attaquant au DNS.
Attention, ne sautez pas de joie de suite. DNSSEC est une solution à condition que cela soit pris en charge par votre FAI.
A ce niveau, celui des FAI, il ne faut pas se faire d'illusions. En France, aucun FAI ne propose des serveurs DNS prenant en charge DNSSEC.
C'est peut-être l'occasion pour vous d'installer votre propre serveur DNS sur votre machine ! Chez oim dispose d'un tuto vous aidant à installer un serveur DNS sur votre PC (https://chez-oim.org/index.php/topic,1599.0.html) et qui, à l'inverse de votre FAI, prend en charge DNSSEC (https://chez-oim.org/index.php/topic,1599.0.html#post_dnssec).
Ce tuto va être mis à jour ce weekend du samedi 9 au dimanche 10 mars 2019 au plus tard.
Bien sûr, chez oim n'est pas directement visé par ces attaques, faut pas rêver non plus. Seuls les gros sites brassant des milliers ou millions de personnes ont du souci à se faire.
Ceci dit, quand un risque existe, il est normal que les personnes compétentes s'y intéressent pour y mettre un terme et c'est le cas pour votre site chez-oim.org.
Théoriquement, donc, chez-oim.org n'a plus à craindre les multiples attaques visant le DNS. Notre serveur DNS ne sera que très peu ralenti par cette mesure, n'ayez pas d'inquiétude. Tout est fait pour que votre navigateur questionne un DNS rapide.
Merci à tous pour votre compréhension.
PS :
Si vous souhaitez vérifier que DNSSEC est bien pris en charge par vos serveurs DNS (le vôtre ou ceux de votre FAI), rendez-vous à cette adresse :
https://dnssec.vs.uni-due.de/ (https://dnssec.vs.uni-due.de/)
Un gentil troll va se charger de vérifier votre installation DNS. Laissez-le faire, c'est un gentil troll que je vous ai dit :)
Cliquez sur le bouton Start Test et patientez.
Si vous obtenez cette image, malheureusement, DNSSEC n'est pas pris en charge par votre DNS ou ceux de votre FAI...
Vous n'êtes pas protégé et vous êtes donc une victime potentielle.
(https://static.chez-oim.org/img/dns-no.png)
Par contre, si vous obtenez cette image, bravo ! DNSSEC est pris en charge par votre DNS ou ceux de votre FAI.
Vous êtes protégé. Les enfoirés du net ne vous atteindrons pas.
(https://static.chez-oim.org/img/dns-yes.png)