12.05.2022

Sécuriser sa présence en ligne avec DNSSEC : un enjeu de taille

.LU

Avec l'Institut Luxembourgeois de Régulation (ILR), la Fondation Restena a édité une brochure portant sur la sécurité des noms de domaine mettant en exergue l’importance du choix de son nom de domaine et du protocole de sécurisation DNSSEC.

Face à l’évolution des cybermenaces et des cyberattaques, la sécurisation des réseaux et des systèmes d'information prend une place centrale. Pour y parvenir, l’implémentation du protocole DNSSEC (Domain Name System Security Extensions) par, notamment, les opérateurs de réseaux et services de communication électronique et les opérateurs d’infrastructures essentielles au Luxembourg particulièrement impactés par cette sombre réalité, est indispensable.

La sécurité des noms de domaine, une brochure dédiée

La Fondation Restena, en tant que registre du domaine de premier niveau .lu, et l'Institut Luxembourgeois de Régulation (ILR) ont édité une brochure apportant des conseils et meilleures pratiques pour sécuriser sa présence en ligne et assurer la sécurité des noms de domaine. Ce dernier point constitue, en effet, un élément crucial de la sécurité des services essentiels et, par extension, de la sécurité de l’ensemble de la société. La brochure est organisée autour de deux grands axes :

  1. Le système des noms de domaines (Domain Name System – DNS), constituant l'un des éléments fondamentaux de l'Internet. Son protocole a été développé à la fin des années 80 avec pour principale fonctionnalité de fournir un système de nommage distribué. 
  2. La technologie DNSSEC (Domain Name System Security Extensions), permettant l'authentification des données DNS et évitant de nombreuses vulnérabilités. Elle offre une solution pour garantir l'intégrité des données, et par extension, la légitimité et la non-altération du résultat du processus de résolution.

La brochure a été éditée à l’occasion de la première conférence NISDUC (NIS Directive User Community) organisée au Luxembourg les 11 et 12 mai 2022 par l'Institut Luxembourgeois de Régulation (ILR) et l’Institut belge des services postaux et des télécommunications (IBPT) en collaboration avec le Luxembourg Institute of Science and Technology (LIST), SECURITYMADEIN.LU et le Centre pour la Cybersécurité Belgique (CCB).  Les astuces et conseils publiées ont été partagés lors de la conférence, notamment dans le cadre de l’atelier sur les meilleures pratiques de sécurité du DNS mené par Guillaume-Jean Herbiet, responsable technique du service .lu. En parallèle, Cynthia Wagner, Responsable sécurité et Chief Information Security Officer, a partagé la scène avec des confrères d’EURid et de DNS Belgium. Ensemble, en tant que registres, respectivement, du .lu, du .eu et du .be, ils ont partagé leurs enseignements en tant qu’opérateur de services essentiels (Operator of Essential Services - OES).

DNSSEC, des services opérationnels depuis plus d’une décennie 

Alors que seuls 7% des noms de domaine en .lu sont signés DNSSEC et que des efforts dans l’implémentation de la technologie doivent être initiées dans toutes les couches de la société, Restena fait bénéficier la technologie DNSSEC bien au-delà des institutions de la communauté de la recherche et de l’éducation connectées à son réseau. Après avoir implémentée la technologie en 2011 dans de la zone .lu qu’elle gère et exploite, elle l’a progressivement intégré dans plusieurs de ses services.

Service ‘Résolveur DNS public’

Objectif : Assurer sécurité, confidentialité et protection des données aux requêtes DNS grâce à des résolveurs récursifs, neutres et validant les réponses obtenues grâce à la technologie DNSSEC.

Comment ? Validation de l’authenticité des données obtenues par la technologie DNSSEC quand celle-ci est activée pour les noms de domaine interrogés.

Bénéficiaires :

  • Institutions de recherche et d’éducation au Luxembourg
  • Grand public 

Service ‘serveurs DNS’

Objectif : Exploiter son nom de domaine en .lu de manière fiable et en toute sérénité grâce à des serveurs « faisant autorité » bénéficiant de la technologie DNSSEC.

Comment ? Signature d’un domaine par le protocole DNSSEC, incluant génération et renouvellement des clefs cryptographiques depuis le serveur maître de la Fondation Restena.

Bénéficiaires : 

  • Institutions de recherche et d’éducation au Luxembourg pour tous leurs noms de domaine, indépendamment de leurs extensions et des bureaux d’enregistrement auprès desquels ils sont enregistrés
  • Titulaires de noms de domaine en .lu via la plateforme d’enregistrement et de gestion de noms de domaine proposée par Restena dans le cadre de son activité de bureau d’enregistrement pour le .lu.