Les utilisateurs d’Internet veulent voir prendre toutes les mesures raisonnablement envisageables en faveur d’un Internet plus sûr
Nous savons qu’il n’existe pas de technologie ou de politique « miracle » capable de rendre Internet entièrement sûr. Nous savons également que l’ICANN n’est pas la seule organisation qui se charge de sécuriser Internet. Mais nous nous soucions du rôle que l’ICANN doit jouer afin de sécuriser Internet pour ses utilisateurs.
Dernièrement, les communautés constituantes de l’ICANN ont commencé à s’interroger sur la façon dont l’ICANN pourrait œuvrer efficacement, dans le cadre de ses attributions, pour contrer les activités qui utilisent le système DNS de manière illicite, malveillante ou frauduleuse.
De fait, l’une des composantes centrales de la mission de l’ICANN consiste à garantir la stabilité et la sécurité du système DNS, dans le cadre de ses attributions. Nous estimons qu’il y a certaines actions que l’ICANN peut et doit prendre pour atténuer, voire stopper de telles activités malveillantes ou illicites.
Nous pensons que l’ICANN doit agir dans les domaines suivants :
• DNSSEC :
o signature de la racine ;
o obligations pour les registres et les registraires ;
• lutte contre l’exploitation du système DNS :
o exactitude et vérifiabilité des données d’enregistrement ;
• enregistrements abusifs.
DNSSEC
L’introduction du protocole DNSSEC et, en particulier, la signature de la racine peut nuire à certaines extensions de réseau telles que les points d’accès WIFI. Plusieurs systèmes d’authentification risquent de ne pas fonctionner. L’ICANN doit entreprendre une étude sur les éventuels impacts du DNSSEC.
L’ICANN doit soutenir les efforts de ce secteur d’activités pour s’adapter au protocole DNSSEC et permettre sa mise en œuvre dans des environnements plus sécurisés.
Signature de la racine
Nous incitons l’ICANN à poursuivre son action pour que la racine soit signée dans le respect de l’intégrité et le consensus général. Nous estimons qu’une responsabilité internationale concernant la génération des signatures est la solution la plus acceptable.
Tant que la racine n’est pas signée, des référentiels d’autorités de certification tiers (en particulier l’ITAR) doivent être utilisés.
Obligations pour les registres et les registraires
Tous les TLD doivent être signés dès que possible, afin d’établir une chaîne de certification valide. Les référentiels d’autorités de certification ne suivent pas à ce niveau, en raison de l’explosion des domaines. Par conséquent, nous préconisons que tous les nouveaux TLD soient signés dès leur création. Le DNSSEC doit être un prérequis technique pour les nouveaux registres et les nouveaux TLD.
L’ICANN doit modifier les contrats de registres et de registraires en incluant des dispositions qui permettent aux requérants de déployer le DNSSEC sans difficulté (cf. détails dans l’annexe A).
Lutte contre l’exploitation du système DNS
À l’heure actuelle, l’exemple le plus évident d’exploitation du système DNS est l’hébergement Fast-Flux, ainsi que le décrivent les documents suivants :
http://gnso.icann.org/issues/fast-flux-hosting/fast-flux-initial-report-26jan09.pdf,
http://www.apwg.org/reports/APWG_RegistrarBestPractices.pdf.
Nous soutenons les meilleures pratiques de l’Anti-Phishing Working Group (APWG), groupe de travail antihameçonnage, et encourageons toutes les parties prenantes à mettre en œuvre dès que possible les actions proposées. De nouvelles études sont inutiles ; il est temps d’agir.
Nous appelons l’ICANN à soutenir les points suivants :
• Favoriser un processus d’enregistrement plus strict afin de limiter les enregistrements frauduleux.
• Utiliser des moyens techniques pour restreindre le fast-flux tel qu’il est défini par l’APWG au niveau des registres.
• Adopter un processus universel clairement défini pour accélérer la suspension des domaines utilisés à mauvais escient.
• Promouvoir l’amélioration du partage et de l’analyse de données relatives aux activités illicites ou malveillantes concernant le registre, le registraire, l’application de la loi et les communautés de lutte contre la criminalité. Les questions liées à la confidentialité et à la protection des données doivent être prises en considération.
• Collecter et promouvoir les meilleures pratiques pour que les registres et les registraires puissent protéger leurs clients contre les activités frauduleuses. Fournir les informations traduites dans les langues maternelles des usagers (cf. http://www.identidadrobada.com/).
Enregistrements abusifs
Pour l’utilisateur d’Internet et le requérant de nom de domaine, les problèmes suivants sont importants :
• détournement de noms de domaine (cybersquattage) ;
• usurpation de l’identité du requérant par piratage psychologique ;
• risques associés au transfert de domaines ;
• élimination erronée.
Nous encourageons vivement l’ICANN à promouvoir la mise en œuvre rapide des recommandations issues du rapport de 2005 sur le cybersquattage :
http://www.icann.org/en/announcements/hijacking-report-12jul05.pdf.
Le groupe de travail sait que lesdites recommandations ont été appliquées à des degrés divers ; cependant, leur mise en œuvre complète aidera notablement à traiter tous les problèmes mentionnés ci-dessus.
Le typosquattage consiste à enregistrer un nom de domaine qui peut aisément être confondu avec un autre déjà existant. Le problème s’étend et se complique avec l’introduction des IDN. Tout d’abord, de tels enregistrements ne devraient pas être autorisés, au même titre que les autres présentations frauduleuses de domaines ressemblants. Ces techniques sont utilisées pour la distribution de logiciels malveillants et le vol d’informations d’identification personnelle (PII), ainsi que pour la falsification des résultats de moteurs de recherche. Nous recommandons d’appliquer à tous les registres l’algorithme de détection existant et de promouvoir une étude sur les nouveaux problèmes liés aux IDN.
Conclusion
Pour déployer le DNSSEC sur une grande échelle, les contrats de registres et de registraires doivent être amendés afin d’y inclure des dispositions relatives au DNSSEC. Les TLD existants doivent être signés dès que possible. Les nouveaux TLD doivent être signés dès le départ. La racine doit être signée dès que possible.
Les utilisateurs d’Internet pourraient rencontrer des problèmes pour bénéficier pleinement de la sécurité apportée par le DNSSEC. Il est également crucial que des mécanismes soient mis en place au niveau des registres et des registraires afin de permettre aux requérants de noms de domaine de déployer le DNSSEC sans difficulté.
Certaines activités malveillantes ou illicites impliquant l’enregistrement de noms de domaine pourraient être contrées par des processus d’enregistrement plus stricts et la surveillance des activités d’enregistrement inhabituelles.
Synthèse des recommandations
• L’ICANN doit entreprendre une étude sur la possibilité des éventuels impacts de l’introduction du DNSSEC sur l’infrastructure installée.
• L’ICANN doit poursuivre ses efforts de sorte que la racine soit signée dans le respect de l’intégrité et le consensus général.
• L’ICANN doit modifier les contrats de registres et de registraires en incluant des dispositions qui permettent aux requérants de déployer le DNSSEC sans difficulté.
• L’ICANN doit favoriser un processus d’enregistrement plus strict afin de limiter les enregistrements frauduleux ou illicites.
• L’ICANN doit poursuivre la mise en œuvre des propositions issues du rapport de 2005 sur le cybersquattage.
Annexe A
Du point de vue des utilisateurs d’Internet, une solution performante concernant le DNSSEC doit satisfaire les points suivants :
• La gestion des domaines à travers la chaîne de revendeurs doit englober toutes les composantes du DNSSEC. Les requérants ont besoin d’être en contact avec une seule entité.
• Publier une matrice d’escalade en cas d’échec du DNSSEC : les signatures fausses ou obsolètes rendent la zone inutilisable. La perte de clé due à une erreur de fonctionnement constitue l’erreur la plus fréquemment prévue et se remarquera uniquement lorsque les premières signatures auront expiré. Il est important de réagir rapidement, sinon le DNSSEC sera désactivé.
• Demander des capacités de DNSSEC minimales en chaque point de la chaîne de revendeurs : faire retirer le matériel clé par des personnes autorisées pour le transfert de domaines signés.
• Étendre les politiques relatives au changement de titulaire à une frappe coulée en continu comme procédure de changement par défaut, y compris pour les parties non consentantes. Les zones doivent rester signées pendant ce processus.
• Les personnes non autorisées ou mal intentionnées ne doivent pas être en mesure de perturber le DNSSEC.
—
Criação de Site
Desenvolvimento de Site
Esmalte de Unha
Esmalte
contributed by guest@socialtext.net on 2010-07-30 17:23:56 GMT
