Electronique Mag - Le journal de l'électronique.
- accueil .
- abonnement .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS . Dans le sillage des dernières avancées obtenues sur le terrain de la sécurité Internet, trois leaders de l’infrastructure Internet ont rejoint la liste croissante des entreprises qui choisissent VeriSign , Inc. (NASDAQ : VRSN) pour tester leurs technologies. Cette décision intervient alors que VeriSign vient d’étendre le protocole Domain Name System Security Extensions ( DNSSEC ) au domaine .net, le plus important domaine jamais protégé par cette technologie. C’est donc dans le laboratoire d’interopérabilité DNSSEC VeriSign qu’ Arbor Networks , Infoblox et RioRey ont pu tester leurs solutions technologiques.
DNSSEC contribue à la protection du DNS (Domain Name System, système de nom de domaine) face aux attaques par empoisonnement du cache ou de type « man-in-the-middle ». Pour cela, les données DNS sont signées et authentifiées numériquement. Ces signatures numériques permettent d’authentifier l’origine des données et de vérifier leur intégrité lors de leur transmission sur la Toile. Dans le laboratoire autonome d’interopérabilité DNSSEC VeriSign de Dulles (Virginie, États-Unis), de nombreuses solutions d’infrastructure Internet font l’objet d’une série de tests. Objectif : évaluer le niveau d’interopérabilité de ces solutions dans un environnement DNSSEC. Réalisés gratuitement par VeriSign, ces tests visent deux objectifs : encourager l’utilisation du service, d’une part, et ouvrir la voie à une plus grande adoption du protocole DNSSEC, d’autre part.
Arbor Networks, Infoblox et RioRey rejoignent la liste croissante des entreprises qui, à l’instar d’A10 Networks, BlueCat Networks, Brocade, Cisco Systems ou encore Juniper Networks, font vérifier leurs solutions par le laboratoire d’interopérabilité DNSSEC VeriSign. En faisant contrôler l’interopérabilité DNSSEC de leurs produits, ces entreprises s’inscrivent dans la démarche collective visant à garantir un déploiement à la fois mesuré et délibéré des extensions de sécurité, partout dans le monde.
« Arbor Networks s’intéresse de près au problème de la sécurité des infrastructures, dont le DNS est de tout évidence l’un des composants essentiels », explique Rob Malan, directeur technique d’Arbor Networks. « Le laboratoire d’interopérabilité DNSSEC VeriSign nous a permis de tester nos produits et d’en contrôler la compatibilité avec le DNSSEC. Parmi les clients d’Arbor figurent la plupart des fournisseurs d’accès Internet ainsi que de nombreux opérateurs de centres de données. Autant dire que la question de la compatibilité est devenue essentielle pour nous. »
« Les attaques par empoisonnement du cache et les autres vulnérabilités systémiques qui ciblent le DNS constituent une menace sérieuse pour le commerce électronique, les services bancaires en ligne, les messageries électroniques, les services clients ou encore les services secrets d’État », déclare Cricket Liu, directeur de l’architecture et des technologies chez Infoblox, leader de l’automatisation et du contrôle des infrastructures réseau, et notamment des plates-formes de gestion des DNS physiques et virtuels, des DHCP et des adresses IP. « Pour toutes ces raisons, il est essentiel de réussir le déploiement du DNSSEC et il est tout aussi important pour tous les membres de la communauté Internet de vérifier l’interopérabilité DNSSEC de leurs solutions. Dans ce domaine, le laboratoire d’interopérabilité DNSSEC VeriSign est devenu incontournable. »
« Société spécialisée dans la détection et la réduction des risques d’attaque par déni de service (DDoS, Distributed Denial of Service), RioRey a bien compris que le DNS jouait un rôle déterminant dans l’instauration de relations de confiance sur Internet », explique Nitin Mehrotra, directeur technique de RioRey, Inc., fournisseur de plates-formes de protection contre les DDoS. « Nous savions que nous devions impérativement garantir l’interopérabilité DNSSEC de nos solutions et nous avons donc décidé de nous appuyer sur l’environnement de test solide de VeriSign. Nous encourageons vivement les autres acteurs de l’Internet à faire de même. »
Les attaques par empoisonnement du cache peuvent se produire lorsque des pirates cherchent à corrompre des données DNS stockées sur des serveurs récursifs, dans le but de rediriger les requêtes vers des sites malveillants. Le DNSSEC empêche les pirates d’empoisonner le cache pour les zones signées ainsi que les décideurs chargés de valider les enregistrements signés. Les signatures numériques apposées sur ces données DNS sont validées au travers d’une « chaîne de confiance » dont la clé publique, publiée dans la zone racine, constitue le point de départ.
« L’efficacité du DNSSEC ne sera assurée que si le protocole est déployé de bout en bout, par tous les acteurs de la communauté Internet », déclare Pat Kane, directeur des services de nommage chez VeriSign. « Suite à la signature du domaine .net, Arbor Networks, Infoblox et RioRey sont venus grossir les rangs des entreprises visionnaires de l’Internet – celles dont le leadership et l’esprit d’initiative permettront d’assurer le succès de cette démarche collective. Nous sommes impatients d’aider d’autres acteurs de l’Internet à tester leurs solutions dans le laboratoire d’interopérabilité DNSSEC. »
Les tests DNSSEC prennent une importance grandissante, à mesure que se poursuit le déploiement des extensions de sécurité à travers le monde. Le DNSSEC a été déployé au niveau de la zone racine du DNS en juillet, et au niveau du domaine .net en décembre. Le déploiement, par VeriSign, du domaine .com est prévu pour la fin du premier trimestre 2011.
Outre le laboratoire d’interopérabilité DNSSEC, VeriSign a mis au point un programme visant à faciliter le déploiement et l’adoption du DNSSEC par de nombreux acteurs de l’Internet. VeriSign a, ces derniers mois, publié un certain nombre de ressources techniques, organisé des sessions de formation, participé à des forums d’experts et développé des outils permettant de simplifier la gestion du DNSSEC.
Fidèle à sa volonté de faciliter le déploiement du DNSSEC, VeriSign présente « DNSSEC Analyzer », une nouvelle application pour iPhone permettant de diagnostiquer les problèmes liés aux noms et aux zones signés par le DNSSEC. En diagnostiquant rapidement n’importe quel nom de domaine, l’application donne à tout utilisateur compétent les moyens d’accéder à des informations de débogage et de recevoir des conseils utiles pour résoudre d’éventuels problèmes.
Dans le cadre de la mise en œuvre du DNSSEC, VeriSign apporte également un soutien actif au réseau de bureaux d’enregistrement, notamment en proposant un kit SDK ainsi qu’un service de signature et de gestion des clés DNSSEC, à la suite de la signature du domaine .net.
