Bonjour,

Je m'interresse à mes heures perdu à la façon dont fonction internet et le réseau. De ce que je comprends, le DNS transcrit les adresses ip des pages en un nom. Mais quand nous tapons une adresse web on recherche dans le DNS si on connait ce nom pour le transcrire en son adresse IP et nous la renvoyer puis repartir vers notre box -> internet. 

Mais je comprend pas très bien comment fonction le DNS SEC qui nous protège du "phishing" ?

Cordialement.

Salut,

Je ne comprends pas ta troisième phrase, ça commence comme une question mais au final il n'y en a pas : " Mais quand nous tapons une adresse web on recherche dans le DNS si on connait ce nom pour le transcrire en son adresse IP et nous la renvoyer puis repartir vers notre box -> internet."

Concernant DNSSEC : il ne protège pas du phishing mais plutôt du cache poisoning. Celui-ci peut être réalisé de différentes manières (sur le client, sur le serveur, entre les deux), mais en gros il s'agit de modifier l'adresse IP reliée à un nom de domaine pour qu'elle pointe vers un serveur différent, généralement malveillant.

La solution introduite par DNSSEC est de signer numériquement les enregistrements en utilisant le cryptage asymétrique. Quand tu demandes l'IP pour un nom de domaine protégé par DNSSEC, tu reçois en retour un enregistrement signé par une clé privée (connue uniquement du serveur, et donc utilisée pour signer l'enregistrement). Il ne reste plus qu'au client DNS à utiliser la clé publique du serveur pour vérifier que l'enregistrement est bien le bon.

Si un attaquant change l'enregistrement DNS, quel que soit l'endroit de la chaine, soit :

- il met une clé privée incorrecte et le client ne peut pas lire l'enregistrement : KO

- il ne met pas de clé privée alors que le client s'attend à un enregistrement signé : KO

- il réussit à trouver la clé privée, et là alors l'attaque peut réussir. Mais bon, on peut pas protéger d'une mauvaise gestion des données confidentielles

Si tu ne connais pas le cryptage asymétrique, ça peut paraître très flou, donc je citerais juste une ligne de la FAQ d'OVH sur le proto :

"La clef privée permet de générer la signature d'une information, alors que la clef publique ne permet que de la lire."

PS: Le phishing en général ne s'embête pas d'avoir le nom de domaine et compte simplement sur le manque de connaissances de l'utilisateur.