Nouvelles

DNS Flag Day - c'est quoi ?

18 janvier 2019

DNS Flag Day, le jour où l’internet peut ‘casser’. Que se passe-t-il ce jour-là et pourquoi? 

Petit retour en arrière

Le Domain Name System (DNS) a été imaginé alors que l’internet n’en était encore qu’à ses premiers balbutiements. Les protocoles d’alors inspiraient une confiance réciproque, et la sécurité était reléguée au second-plan. Peu à peu cependant, on s’est rendu compte qu’il fallait que le DNS soit renforcé et qu’il contienne plus de fonctions dans les messages échangés.

C’est ainsi qu’est né EDNS of Extension mechanisms for DNS, en 1999. L’avènement d’EDNS permit de mettre en œuvre le DNSSEC , la géolocalisation DNS et d’autres mesures de sécurité comme les cookies dans les messages DNS classiques. Mais toute transition est difficile. Dans bien des cas, des firewalls ou des implémentations DNS existants n'ont pas été mis à jour ou ont adopté le standard EDNS abusivement, ce qui a nécessité des patches des résolveurs récursifs pour pouvoir les maintenir.

Besoin de standardisation

Vingt ans plus tard, le poids de tous ces patches commence à peser lourd! Patches après patches, année après année, la maintenance de ces logiciels ‘raccommodés’ devient de plus en plus complexe et peut même engendrer des bugs (parfois dangereux). Ces emplâtres entraînent aussi une certaine lenteur dans les temps de réponse et entravent l’innovation. Il est donc urgent que chacun respecte les normes faute de quoi il sera difficile de contrer les menaces les plus récentes telles que DNS amplification, DNS flood et les attaques Layer 7.

Plusieurs grands acteurs informatiques, parmi lesquels les développeurs des différents résolveurs récursifs, se sont donc réunis et ont décidé conjointement qu’ils ne supporteraient plus, à partir du 1er février 2019, les serveurs DNS ne respectant pas le standard EDNS. Toutes les nouvelles versions de leurs logiciels ne comprennent plus de 'patches' rétrocompatibles, ce qui signifie qu’à partir de ce jour, certains noms de domaine risquent de ne plus être ‘résolus’ ('resolved'). En d’autres termes : sans nom de domaine, pas de site web ! 

Le terme 'Flag Day' est couramment utilisé dans les milieux informatiques. Il a été choisi pour désigner cette date butoir, qui implique une transition assez brutale.

Que signifie exactement le DNS Flag Day pour vous ?

Concrètement, cela signifie que tous les serveurs DNS qui ne sont pas compatibles au standard EDNS ou qui ne fonctionnent pas parce qu'un firewall non compatible EDNS a été mentionné, seront considérés comme ‘morts’. Conséquence : votre nom de domaine risque de ne plus fonctionner. 

Comment vous préparer au DNS Flag Day ?

Des organisations comme les fournisseurs de services internet, les sociétés  d’hébergement et d’autres doivent tester leur domaine actuel et leurs serveurs DNS.  Des outils de tests sont disponibles sur le site DNS Flag Day. En tant qu’utilisateur, vous pouvez déjà tester si votre nom de domaine est conforme, via un simple test sur ce même site.

Espérons que la réponse sera un beau "All OK" et un feu vert ("GO"). Si tel n’est pas le cas, prenez contact avec votre société d’hébergement. Il y a peut-être un problème de dysfonctionnement du logiciel DNS ou un problème de configuration du Firewall. Une mise à jour du logiciel DNS vers la dernière version stable peut être la solution.

Avec cet article, nous contribuons à réaliser ces objectifs de développement durable de l’Organisation des Nations Unies.