Le RFC 5452, Measures for making DNS more resilient against forged answers, vient d’être publié. Ce document technique est une étape importante dans le travail mené pour sécuriser le DNS, notamment contre l’empoisonnement des données (l’empoisonnement est un ensemble de techniques qui permet à un attaquant de transmettre aux utilisateurs des fausses informations, par exemple une fausse adresse IP à la place de celle de www.afnic.fr, permettant ainsi de détourner du trafic).
L’approche actuelle contre l’empoisonnement est double : d’une part rendre cet empoisonnement plus difficile par une série de contre-mesures techniques, c’est l’objet de ce RFC 5452. Les règles qu’il contient sont déjà mises en oeuvre dans les serveurs DNS comme BIND ou Unbound. (Pour BIND, cela a été fait en urgence à l’été 2008, après l’annonce de l’attaque dite « Kaminsky ».)
D’autre part, rendre l’empoisonnement impossible par une signature cryptographique des données, c’est le système DNSSEC. DNSSEC est complexe et son déploiement soulève beaucoup de problèmes, techniques ou politiques. Il est donc nécessaire de ne pas mettre « tous ses oeufs dans le même panier » et de continuer à déployer les contre-mesures autres que DNSSEC.
L’AFNIC invite donc tous les opérateurs de serveurs DNS récursifs (« résolveurs ») à s’assurer que le logiciel installé est bien conforme aux recommendations du RFC 5452. Pour BIND, c’est le cas depuis la version 9.4.1. Pour Unbound, c’est le cas depuis la version 1.0. Pour PowerDNS recursor, c’est le cas depuis toujours (l’auteur de PowerDNS recursor est un des auteurs du RFC.)
Considérant la sécurité et la stabilité de l’Internet comme une part essentielle de ses missions, l’AFNIC a activement participé au développement de ce RFC 5452.
À propos de l’AFNIC
(Association Française pour le Nommage Internet en Coopération)
Association à but non lucratif, l’AFNIC est l’organisme chargé de la gestion administrative et technique des noms de domaine .fr et .re, suffixes internet correspondant à la France et à l’Île de la Réunion.
L’AFNIC est composée d’acteurs publics et privés : représentants des pouvoirs publics, utilisateurs et prestataires de services Internet (bureaux d’enregistrement).
En savoir plus
À propos de l'Afnic
L’Afnic est l’Association Française pour le Nommage Internet en Coopération. Elle est l’office d’enregistrement désigné par l’État pour la gestion des noms de domaine en .fr. L’Afnic gère également les extensions ultramarines .re (Île de la Réunion), .pm (Saint-Pierre et Miquelon), .tf (Terres australes et antarctiques Françaises), .wf (Wallis et Futuna) et .yt (Mayotte).
Outre la gestion des extensions françaises de l’internet, le rôle de l’Afnic s’inscrit dans une mission d’intérêt général plus large, qui consiste à contribuer au quotidien, grâce aux efforts de ses équipes et de ses membres, à un internet sûr et stable, ouvert aux innovations et où la communauté internet française joue un rôle de premier plan. Ainsi, l’Afnic, association à but non lucratif, s’engage à verser annuellement 11 % de son Chiffre d’Affaires lié aux activités du .fr à des actions d’intérêt général, en affectant notamment 1,3 million d’Euros minimum chaque année à la Fondation Afnic pour la Solidarité numérique.
L’Afnic est également l’opérateur technique de registre d’entreprises et collectivités ayant choisi d’avoir leur propre extension, telle que .paris, .bzh, .alsace, .corsica, .mma, .ovh, .leclerc ou .sncf.
Fondée en 1997 et basée à Saint-Quentin-en-Yvelines, l’Afnic compte aujourd’hui près de 90 collaborateurs.