Actualités

Registrars Locaux

Liste des Registrars locaux accrédités :     AléoConsult pascal.kryl@aleoconsult.com Androhibe, lot II M 35 Antananarivo 032 07 97...

Lire la suite

ICANN

Fin de la tutelle du gouvernement américain sur la racine de l’Internet : Nous y sommes !     Le Sénat US ne s'oppose pas à ce que le département...

Lire la suite

DNSSEC (sécuriser les failles DNS)

Pour contacter une personne sur Internet, vous devez entrer une adresse sur votre ordinateur : un nom ou un numéro. Cette adresse doit être unique...

Lire la suite

Pour contacter une personne sur Internet, vous devez entrer une adresse sur votre ordinateur : un nom ou un numéro. Cette adresse doit être unique pour permettre aux ordinateurs de s’identifier entre eux. L’ICANNcoordonne ces identifiants uniques à l’échelle internationale. Sans cette coordination, nous n’aurions pas le réseau Internet mondial unique que nous connaissons. Lorsqu’un nom est saisi, le système doit d’abord le traduire en chiffres pour ensuite établir la connexion. Ce système est le système des noms de domaine, ou DNS : il traduit les noms comme www.icann.org en chiffres appelés « adresse de protocole Internet (IP) ». L’ICANN coordonne ce système d’adressage afin que chaque adresse soit unique.

Des vulnérabilités ont récemment été découvertes dans le système DNS : elles permettent à un pirate d’intercepter le processus de recherche d’une personne ou d’un site dans l’Internet et d’utiliser leur nom. L’objectif de l’attaque est de prendre le contrôle de la session et, par exemple, d’envoyer l’internaute vers le site Web frauduleux du pirate afin de récupérer le compte et le mot de passe.

Ces vulnérabilités ont renouvelé l’intérêt pour l’introduction de la technologie des extensions de sécurité DNSSEC visant à sécuriser cette partie de l’infrastructure de l’Internet.

Les questions et réponses ci-dessous tentent d’expliquer la nature des extensions de sécurité DNSSEC, et leur importance.

1) D’abord, qu'est-ce que la zone racine ?

Le système DNS traduit les noms de domaine que les personnes peuvent facilement retenir en chiffres que les ordinateurs utilisent pour chercher la destination, un peu comme un annuaire téléphonique sert à trouver un numéro de téléphone. Cela se fait par étapes. Le premier endroit où le système DNS « regarde » est le premier niveau du service d’annuaire, ou « zone racine ». En prenant par exemple www.google.com, votre ordinateur « demande » à l’annuaire de la zone racine (ou premier niveau) où trouver les renseignements relatifs à « .com ». Une fois la réponse obtenue, il demande au service d’annuaire « .com », identifié par la racine, où trouver les renseignements sur .google.com (le second niveau). Enfin, il demande au service d'annuaire google.com, identifié par « .com », l’adresse de www.google.com (le troisième niveau). À la fin de ce processus presque instantané, votre ordinateur reçoit l’adresse complète. Chaque service d’annuaire est géré par une entité différente i : google.com par Google, « .com » par VeriSign Corporation (et les autres domaines de premier niveau par d’autres organismes), et la zone racine par l’ICANN1

2) Pourquoi « signer la racine » ?

Des vulnérabilités récemment découvertes dans le système DNS combinées aux avancées technologiques ont fortement réduit le temps nécessaire à un pirate pour détourner à son profit une étape du processus de consultation DNS, prendre le contrôle d’une session et, par exemple, envoyer les internautes vers le site Web frauduleux du pirate afin de récupérer les comptes et les mots de passe. À long terme, la seule solution pour combler cette faille est de déployer de bout en bout le protocole de sécurité dénommé extensions de sécurité des noms de domaine ou DNSSEC.

3) Qu’est-ce que le DNSSEC ?

La technologie DNSSEC a été développée, entre autres choses, afin de se protéger de telles attaques. Elle permet d’apposer une « signature » numérique aux données et garantit ainsi à l’utilisateur la validité de ces données. Afin d’éliminer cette vulnérabilité de l’Internet, il faut déployer DNSSEC à chaque étape de consultation, de la consultation de la zone racine à celle du nom de domaine final, comme www.icann.org. La signature de la racine, c.-à-d. le déploiement de DNSSEC au niveau de la zone racine, est une étape nécessaire du processus global ii. Il est important de noter que cette technologie ne chiffre pas les informations ; elle ne fait qu’attester de la validité de l’adresse du site que vous consultez. 2

4) Qu’est-ce qui empêche les autres parties de la chaîne d’adressage d’utiliser DNSSEC ?

Rien. Mais comme toute chaîne dont la force repose sur une autre partie, si la zone racine n’est pas signée, il en résulte une extrême fragilité. Certaines parties seraient fiables mais d’autres ne le seraient pas.

5) En quoi la sécurité sera-t-elle améliorée pour l’utilisateur moyen ?

Le déploiement complet de DNSSEC assurera que l’utilisateur final se connecte vraiment au site Web ou au service qui correspond au nom de domaine particulier. Tous les problèmes de sécurité de l’Internet ne seront pas résolus pour autant, mais DNSSEC en protègera une partie cruciale, la consultation d’annuaires. Ceci vient s’ajouter à d’autres technologies comme le protocole SSL (https:) qui sécurise la « conversation » et fournit une plate-forme pour d’autres améliorations de sécurité à venir.

6) Dans les faits, que se passe-t-il quand vous signez la racine ?

Lorsque le protocole DNSSEC est utilisé pour « signer la racine », quelques enregistrements par domaine de premier niveau sont ajoutés au fichier de zone racine. Ces ajouts sont une clé et une signature qui atteste de la validité de la clé.

Le protocole DNSSEC fournit un chemin de validation pour les enregistrements. Il ne chiffre pas les informations ni ne change leur gestion ; il est « rétrocompatible » avec le système DNS et les applications actuels. Cela signifie qu’il ne modifie pas les protocoles existants sur lesquels se fonde le système d’adressage Internet actuel. Il incorpore une chaîne de signatures numériques à la hiérarchie DNS, et chaque niveau possède ses propres clés de génération de signatures. Ainsi, pour un nom de domaine comme www.icann.org, chaque organisme de la chaîne doit signer la clé du niveau inférieur. Par exemple, .org signe la clé icann.org et la racine signe la clé .org. Lors de la validation, DNSSEC remonte la chaîne de confiance jusqu’au niveau supérieur de la racine et valide au fur et à mesure les clés « filles » avec les clés « mères ». Puisque chaque clé est validée par celle du niveau immédiatement supérieur, la seule clé nécessaire à la validation du nom de domaine complet est le parent au niveau le plus haut ou clé racine. 3

La mise en œuvre de cette hiérarchie signifie que, même si la racine est signée, le déploiement complet du protocole DNSSEC dans l’ensemble des noms de domaine sera un long processus. En effet, chaque domaine de niveau inférieur doit être signé par son opérateur pour qu’une chaîne de confiance particulière soit complète. La signature de la racine n’est qu’un début, mais d’importance cruciale. Récemment, les opérateurs de TLD ont accentué leurs efforts de déploiement des extensions de sécurité DNSSEC dans leurs zones (.se, .bg, .br, .cz, .pr les mettent en œuvre dès à présent et d’autres, comme .gov, .uk et .ca, vont suivre), et d’autres opérateurs ont prévu de le faire iii.

7) Comment le fichier de zone racine est-il géré ?

La gestion de la racine est partagée entre quatre entités :

i) l’ICANN, une organisation internationale à but non lucratif sous contrat avec le Département du commerce des États-Unis, assume les fonctions de l’« IANA ». IANA est l’acronyme du nom « Internet Assigned Numbers Authority », l’autorité chargée de la gestion de l'adressage sur l’Internet. L’ICANN reçoit et évalue les informations des opérateurs des domaines de premier niveau (TLD) comme « .com » ;

ii) l’administration nationale de l'information et des télécommunications ou NTIA (National Telecommunications and Information Administration), qui est une fonction du Département du commerce des États-Unis, autorise les modifications de la racine ;

iii) VeriSign, une entreprise dont le siège est aux États-Unis et dont le rôle, défini par un accord avec le gouvernement américain, est de mettre à jour la zone racine avec les informations modifiées. Celles-ci sont fournies et authentifiées par l’ICANN et autorisées par le Département du commerce. Le rôle de VeriSign comprend aussi la distribution du fichier de zone racine qui contient les informations de localisation des domaines de premier niveau (TLD) comme « .com » ; et

iv) un groupe international d’opérateurs de serveurs racines qui possèdent et exploitent plus de 200 serveurs dans le monde sur une base non lucrative. Ces serveurs diffusent les informations de racine provenant du fichier de zone racine à l’ensemble de l’Internet. Les opérateurs de serveurs racines, chacun associé à une lettre, sont :

               A) VeriSign Global Registry Services,

              B) l’institut Information Sciences Institute de l’Université de Californie du sud,

              C) Cogent Communications,

              D) l’Université du Maryland,

              E) le centre de recherche Ames de la NASA,

              F) Internet Systems Consortium Inc.,

              G) le centre d’information Network Information Center du Département de la défense des États-Unis,

              H) le laboratoire de recherche de l’armée américaine Army Research Lab,

              I) Autonomica/NORDUnet en Suède,

             J) VeriSign Global Registry Services,

             K) RIPE NCC aux Pays-Bas,

             L) l’ICANN,

             M) WIDE Project au Japon.

Source : http://www.root-servers.org

8) Pourquoi est-ce important pour la sécurité des extensions DNSSEC que l’évaluation, la modification et la signature soit le fait d’une seule organisation ?

Dans le cadre des extensions de sécurité DNSSEC, la force de chaque maillon de la chaîne de confiance repose sur la confiance qu’a l’utilisateur dans l’organisation qui évalue la clé et dans les autres informations du système DNS pour ce maillon. Afin d'assurer l’intégrité de ces informations et de conserver cette confiance une fois les données authentifiées iv, les informations doivent immédiatement être préservées des erreurs malveillantes ou accidentelles qui peuvent être introduites dès qu’un échange de données intervient entre les différentes composantes de l’organisation. Qu’un seul système et organisme incorpore directement les informations authentifiées dans la zone signée préserve cette confiance jusqu’à la diffusion. C’est tout simplement plus sécurisé. 4

Les extensions DNSSEC vont renforcer la confiance dans la sécurité du système DNS. Il est donc d’autant plus important que cette confiance, instaurée grâce à la validation et l’authentification des données TLD des autorités de certification par l’ICANN, soit préservée jusque dans un fichier de zone racine signé.

9) Dans le cadre des extensions de sécurité DNSSEC, à quoi correspondent « KSK » et « ZSK » ?

KSK est l’abréviation de « Key Signing Key », une clé utilisée sur long terme, et ZKS de « Zone Signing Key », une clé utilisée à plus court terme. Avec assez de temps et de données, la sécurité des clés de chiffrement peut être compromise. Dans le cas du chiffrement à clé publique ou asymétrique qu’utilisent les extensions de sécurité DNSSEC, cela signifie qu’un pirate détermine, par la force brute ou d’autres méthodes, la moitié privée de la paire de clés publique/privée qui sert à créer les signatures attestant de la validité des enregistrements DNS. Ceci lui permet de mettre en échec les protections érigées par les extensions DNSSEC. Les extensions DNSSEC contrecarrent ces tentatives de compromissions par l’utilisation d’une clé à court terme (ZSK) qui sert à l’exécution des routines de calcul de signatures pour les enregistrements DNS, et une clé à long terme (KSK) pour le calcul d’une signature sur la clé ZSK pour lui permettre d’être validée. La clé ZSK est fréquemment changée ou renouvelée de manière à ce qu’elle soit difficile à « deviner », et la clé KSK, plus longue, est changée à des intervalles de temps plus longs (les meilleures pratiques actuelles préconisent un ordre de grandeur d’une année). Puisque la clé KSK signe la clé ZSK, et que la clé ZSK signe les enregistrements DNS, seule la clé KSK est nécessaire à la validation d’un enregistrement de DNS de la zone. C’est un condensat de la clé KSK sous la forme d’un enregistrement DS (Delegation Signer) qui est envoyé à la zone mère. La zone mère, par exemple la racine, signe l’enregistrement de la zone fille, par exemple .org, avec sa propre clé ZSK, elle-même signée par sa propre clé KSK. 5

Cela signifie que si le protocole DNSSEC est entièrement adopté, la clé KSK de la zone racine ferait partie de la chaîne de validation de chaque nom de domaine validé selon DNSSEC. Il en va de même pour la validation des applications futures.

10) Qui gère les clés ?

Selon les termes de cette proposition, l’ICANN conserverait l’infrastructure des clés mais les informations d’identification servant à générer les clés KSK seraient conservées par des tierces parties. Ceci constitue un élément important de l’acceptation générale de ce processus au niveau mondial. L’ICANN n’a pas proposé de solution spécifique quant aux entités qui devraient conserver ces informations d'identification et pense que ceci, ainsi que les autres problématiques, relèvent d’un processus de consultation publique et de la décision du Département du commerce des États-Unis.


1 Ces entités et les opérations du DNS elles-mêmes reflètent souvent l’architecture générale de l’Internet de par leur distribution géopolitique et organisationnelle.

2 La signature de la racine simplifie aussi le déploiement dans les couches inférieures du DNS, ce qui accélèrera le déploiement global de DNSSEC.

3http://ccnso.icann.org/surveys/dnssec-survey-report-2007.pdf

4 Ainsi que pour prévenir contre les défaillances de service

5 Pour les personnes familiarisées avec les méthodes de chiffrement à clé publique, DNSSEC est une forme de PKI (Public Key Infrastructure)

Fin de la tutelle du gouvernement américain sur la racine de l’Internet : Nous y sommes !

 

 

Le Sénat US ne s'oppose pas à ce que le département du commerce mette fin au contrat qui le lie à l’ICANN & valide ainsi la transition de la supervision de la racine de l'Internet

 

 

Les Etats-Unis ont tenu leur promesse, faite en mars 2013, de transférer à la communauté Internet mondiale la supervision de la racine du système des noms de domaine Internet.

A la suite de trois années de débats, au cours desquelles l’ensemble des parties prenantes a pu démontrer sa volonté de relever le défi d’une nouvelle organisation de la racine de l’Internet, cette transition est désormais irréversible.

L’Afnic a participé très activement à l’ensemble de ces débats, et plus particulièrement  au sein du groupe de travail international sur la réforme de l’ICANN, dont Mathieu Weill, DG de l’Afnic, a co-présidé les travaux.

Pour que le gouvernement américain puisse tenir sa promesse de se retirer de la supervision de la racine, et ainsi reconnaitre qu’il n’y a pas de raison qu’il détienne un pouvoir discrétionnaire et disproportionné par rapport à l’ensemble des autres états, les mécanismes et les organisations qui doivent désormais assumer cette tâche se doivent d’être exemplaires, transparentes, et surtout, pleinement internationales. L’Icann, qui sera au cœur du nouveau système de supervision de la racine, devra mettre en œuvre l’ensemble des évolutions identifiées par le groupe de travail, et notamment les contre-pouvoirs internes et externes à ses décisions.

« Les débats houleux au Sénat auront, jusqu’au dernier moment, fait craindre que nous manquions cette occasion historique d’effectuer la transition Iana. Le vote est un immense soulagement, c’est aussi la plus belle récompense pour le travail acharné de toutes celles et ceux qui, sans être naïfs, ont cru qu’il était possible d’obtenir cette transition », déclare Mathieu Weill, directeur général de l’Afnic et co-président du CCWG.

Elle devra également, et ce point reste à construire, faire évoluer sa culture pour qu’elle prenne en compte la diversité du monde pour lequel elle travaille. Aussi bien au sein des organes dirigeants de l’ICANN qu’au niveau des mécanismes d’appels de ses décisions, l’Afnic appelle à ce que la diversité culturelle, linguistique, de parcours professionnel, de genre, d’âge puisse s’exprimer pleinement. En effet, pour parachever la démonstration que le modèle multi-acteurs peut fonctionner sur le long terme, il faut que l’ensemble des acteurs, dans leurs diversité, puissent influer sur l’organisation.

Cette question fera l’objet des prochains débats, mais pour l’heure, l’Afnic se félicite de la réalisation effective de cette transition, et appelle la communauté internet française a davantage s’impliquer dans les travaux d’une ICANN réformée, plus ouverte et plus transparente.

Liste des Registrars locaux accrédités :

    AléoConsult Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. Androhibe, lot II M 35 Antananarivo 032 07 97 600
Marketo Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. Lot VP3 Ankazotokana Ambony (Anjohy) Antananarivo +261341018262 / +261324231786 
BLUELINE  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.     
 

Compureweb

 

 COMPUREWEB Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.  AMBOHIBAO ANTEHIROKA Lot 01 A  034 14 217 00 

 

 NT MADA Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.  II N 94 M Ter Analamahitsy   032 71 121 85
 

dagoo.mg

 

DAGOO.MG  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.  H 119 bis, Idoho, Alasora Antananarivo 103  033 11 743 14 / 034 11 743 14 

 

dot.mg 

 

 DOT.MG Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.  H 119 bis, Idoho, Alasora Antananarivo 103   033 11 743 14 / 034 11 743 14

 

 

 Telma Global Net Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.  Siege Social ALAROBIA ANTANANARIVO 101  +261 20 22 203 59 

 

 

 

E-SAINA   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. Lot Près VU 165 A,  1ere Etage Miandrarivo Ambanidia Antananarivo 101 Madagascar   

 

 

 

E-SOLVE  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.   

 

 

 

 

 GVC  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.  Esc B. Porte B11- Nouvel Immeuble Aro Ampefiloha, Antananarivo 101 020 22 632 37 / 033 29 077 65 

 

 

HALA  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.  Lot II I 143 Ter G Amboniloha   

 

 

IBONIA  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.  A22, Nouvel Immeuble Aro, Ampefiloha, Antananarivo  261 20 22 646 67 

 

Cabinet SAHAZA MARLINE

 

Cabinet SAHAZA MARLINE  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.    340918834 

 

 

INTC  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.  Rue Boulevard Poincaré Hell Ville Nosy-Be Madagascar   +261 32 05 113 26

 

I-TARGET

 

I-TARGET  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.  Tana Water Front Ambodivona  320247501 

 

 

ITRAS  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.   lot IIH 58 Ter Ankerana 033 24 734 29 / 034 79 893 35 

 

ITS

 

ITS  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.  Antananarivo, Madagascar   

 

 

ITWORKS  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.  Lot III I 45 Soanierana, Antananarivo 101  + 261 34 39 475 20 

 

L'AGENCE 720

 

L'AGENCE 720  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.  Lot II V 25 Besarety   020 30 889 99

 

 MIANJAIKA COMMUNICATON

 

MIANJAIKA COMMUNICATON   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. Lot 5 - 6 cite des 16 Logements 67Ha  034 67 718 14 

 

 

MADAGASCAR-INTERNET.COM  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.  Enceinte Tana Water Front  Ambodivona  +261 20 22 344 85 

 

 

MPIKETRIKA.COM   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.  Lot II I NCA Alarobia Ivandry 202641459 

 

NEWRISE

 

NEWRISE  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.    033 29 682 27 

 

 

 ORANGE MADAGASCAR Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.    032 07 000 95 

 

 

ARIUM  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.    032 11 477 77 

 

PRESTATICS SARL

 

 PRESTATICS SARL Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.  Immeuble Jacaranda Ambatonakanga- Bureau Numero 3  033 82 923 44 

 

 

RAMANITRA Sarlu  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.   Appartement n15, Residence Les Jardins du Mahamasina, Ankadilalana 034 14 108 81 

 

 

SIMAFRI  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.  Lot IG 203 bis Manahy Ilafy - 103- Antananarivo  034 55 193 98/034 72 644 57   57 

 

 SAMSDESIGN

 

SAMSDESIGN  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.  Tamatave   032 11 454 17

 

 

SHASAMA  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.   Lot II I 88 A Alarobia Amboniloha 020 22 438 32 

 

STRATEGY Consulting

 

STRATEGY Consulting   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. II N 83 HBA ANALAMAHITSY  331279432 

 

 

 TANYAH CONSULTING Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.  Lot VB 75 G Ambatoroka – 101 TANA  22 392 41 

 

 

TECH MEDIA  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.  Lot 03 16 D Sabotsy Namehana  +261 34 05 939 04  

 

 

TEKNET GROUP BUILDING  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.  BP 3914, Imm Trade Tower 3ème Etage, Alarobia   261 20 22 313 59