Depuis de nombreuses années, l’attestation de l’authenticité des noms de domaines était effectuée par les Autorités de certification (AC). Une solution alternative a été recherchée suite à plusieurs attaques mettant en exergue la vulnérabilité de l’infrastructure AC. Le protocole DANE développé par l'IETF permet à un domaine d’attester lui-même les entités autorisées à le représenter, en utilisant un PKI alternatif – DNSSEC basée sur le DNS. Le début de cet article présente le problème, puis introduit brièvement DNSSEC, explique comment DANE pourrait être implémenté, et enfin conclut sur les défis à relever pour passer du modèle d'authentification web actuel à DNSSEC.
1. Les événements qui ont conduit à repenser le mécanisme d’authentification sur Internet
On peut dire que c’est à partir de mars 2011 que les remparts de l’authentification sur Internet s’écroulaient les uns après les autres. Le 15 mars 2011, Comodo, un fournisseur leader sur le marché des certificats X.509 [1] [2] a découvert que l'un de ses affiliés avait été compromis par un attaquant ayant créé un compte utilisateur chez eux. Avec ce compte, l'attaquant a créé des demandes de certificats pour plusieurs sites web importants comme login.live.com, mail.google.com, login.yahoo.com, etc., et il est sûr qu'il a obtenu au moins un certificat X.509 pour ces sites.
Alors que l'on pensait [3] que l'attaque Comodo était un cas isolé dans la vie de l’industrie de l'Autorité de Certification (AC), quatre mois plus tard, une autre AC, DigiNotar, subit une attaque. L'attaquant qui avait agi en mars contre Comodo a revendiqué l'attaque sur DigiNotar....
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
