Vous avez connu des problèmes de sécurité avec vos sites existants ? L’ANSSI (Agence nationale de la sécurité des systèmes d’information) publie un guide avec une liste de bonnes pratiques à suivre pour choisir un prestataire, enregistrer un nom de domaine et sécuriser son hébergement. Le document accessible en ligne liste 15 recommandations organisationnelles, juridiques et techniques.
Les choix du registre et du bureau d’enregistrement
Le système des noms de domaines (géré par le protocole DNS) permet notamment d’associer une adresse IP à une adresse web lisible. Certaines recommandations de l’ANSSI semblent évidentes. Il faut ainsi s’assurer de la disponibilité et du caractère licite du nom de domaine avant de l’enregistrer.
Les auteurs du guide commencent par rappeler le fonctionnement des domaines et des sous-domaines avec les diverses responsabilités associées ainsi que les rôles des différents prestataires : le registre (registry), le bureau d’enregistrement (registrar), les hébergeurs (opérateur technique) voire les revendeurs (à traiter comme de l’externalisation). Le choix des prestataires n’est pas négligeable. Comme le précise le document de l’Anssi, de nombreux incidents ont eu lieu récemment avec des conséquences au niveau de la sécurité (interception de trafic et de courriers électroniques) et de la disponibilité des sites web (dénis de service ou défigurations).
En 2012, les sites irlandais web google.ie et yahoo.ie ont pâtit d’un problème de sécurité du registre IEDR chargé de l’extension .ie. Les internautes visiteurs de ces sites étaient redirigés vers le serveur d’un attaquant (hameçonnage). Les registres marocains (.ma), qatari (.qa) et malaisien (.my) ont eux aussi été confrontés à des problèmes récemment.
Toujours en 2012, l’hébergeur et bureau d’enregistrement Go Daddy a été confronté à un incident réseau de six heures. Résultat : ses services et ceux de ces clients étaient inaccessibles. La résolution de certains noms de domaine étant inopérante.
Les choix du registre et du bureau d’enregistrement
Un nombre non négligeable de recommandations concernent donc le choix des prestataires. Le registre choisi doit proposer un service de verrou de niveau registre (registry lock en anglais). Cette fonctionnalité évite l’usurpation de noms de domaine grâce à la mise en place d’un système d’authentification forte (via un appel téléphonique, un SMS ou un fax) pour tout déverrouillage. Une précaution non négligeable quand on sait que les attaques par usurpation d’identité ont augmenté de manière significative ces dernières années.
Pour augmenter d’un cran la sécurité mise en place avec le verrou de niveau registre, le bureau d’enregistrement choisi devra offrir un mécanisme d’authentification journalisée et renforcée. Les bureaux d’enregistrements servent d’intermédiaires entre les entreprises et les registres pour aider les premières à acquérir leur nom de domaine.
Enfin, le titulaire du nom de domaine a tout intérêt à sélectionner un bureau d’enregistrement et un registre soumis à la législation française ou européenne. Autrement dit, mieux vaut maîtriser le système juridique et la langue de ses prestataires en cas de litiges.
Attention à l’architecture technique
L’ANSSI fournit aussi de nombreuses recommandations techniques. Il faut par exemple servir les noms de domaine depuis au moins deux serveurs distincts, mettre en place une procédure de sauvegardes régulières des données contenues dans les zones DNS, répartir les donnes internes et externes sur des machines ou des processus cloisonnés. Ou encore, s’équiper d’un système de surveillances des données fournies par les serveurs et durcir (c.-à-d. sécuriser) le système d’exploitation hébergeant les logiciels DNS).
Ainsi, avant de vous lancer dans l’achat d’un nom de domaine, renseignez-vous. Domaine.fr répond à toutes vos questions.
Source: pro.01net.com
Moyens techniques :
Domaine.info