Sans sécurité intrinsèque, les serveurs DNS (Domain Name System) dans de nombreuses organisations ont été compromis à plusieurs reprises pour permettre une multitude d’activités malveillantes, comme l’empoisonnement du cache, la redirection des appels téléphoniques, les attaques de type « homme du milieu » pour voler les mots de passe, rediriger des e-mails, perpétrer des attaques par déni de service, et bien plus encore.
Le protocole DNSSEC (Domain Name Systems Security Extensions) protège la hiérarchie du serveur DNS en appliquant une signature numérique sur les enregistrements DNS pour garantir que les messages reçus sont identiques à ceux envoyés.
Fondamentalement, DNSSEC met en place des infrastructures à clé publique (PKI) pour fournir une méthode de communication sécurisée entre les serveurs DNS. En tant que PKI, DNSSEC nécessite des nouvelles procédures comme la génération, la signature et la gestion des clés. Cependant, malgré tous les avantages potentiels de DNSSEC, les profits espérés ne sont pas garantis car les enregistrements des ressources introduits par DNSSEC sont conservés dans un fichier non chiffré.
Ce n’est que lorsque l’infrastructure DNSSEC est entièrement sécurisée que les organisations peuvent commencer à profiter pleinement des avantages potentiels. Pour ce faire, elles ont besoin des fonctionnalités suivantes :
Pour garantir la validité des services DNS, DNSSEC emploie la cryptographie de clé publique pour appliquer une signature numérique aux messages DNS. Pour atteindre le niveau de sécurité requis, il est primordial d’appliquer une protection robuste aux clés de signature privées. Si les clés et les certificats numériques sont compromis, la chaîne de confiance dans la hiérarchie DNS est rompue, rendant l’intégralité du système obsolète. C’est là que les modules matériels de sécurité (HSM) interviennent.
Les HSM sont des systèmes dédiés qui protègent de manière logique et physique les clés et le traitement cryptographiques qui sont au cœur des signatures numériques. Les HSM prennent en charge les fonctionnalités suivantes :
En stockant les clés cryptographiques dans un appareil centralisé et renforcé, les HSM peuvent éliminer les risques associés au stockage de ces ressources sur des plateformes disparates et peu sécurisées. De plus, cette centralisation peut simplifier considérablement l’administration de la sécurité.
Une ancre de confiance dans un univers numérique De plus en plus d’entités se montrent proactives à cet égard et ont intégré des Modules matériels de sécurité (Hardware Security Modules ou HSM selon les sigles anglais) à leurs déploiements de gestion des risques liés aux...