D’un côté, nous avons la National Security Agency, connue pour ses dérives sur la surveillance (de masse) – largement mises en avant par Edward Snowden – au niveau mondial. De l’autre, le DNS dont le rôle (du résolveur) est notamment de faire correspondre un nom de domaine à une adresse IP. Cet élément, presque aussi simple qu’incontournable, est au centre de nombreux enjeux sur la sécurité et le respect de la vie privée.
Et voilà que les deux se mélangent… on se demande donc bien ce qui pourrait mal se passer. La semaine dernière, la NSA a en effet présenté un programme pilote d’un DNS « sécurisé », dont les premiers retours seraient « très très positifs ». Il ne s’adresse pas à tout le monde, mais aux fournisseurs/sous-traitants de la défense américaine. But officiel de l’opération : améliorer la cybersécurité des partenaires, comme le rapporte Cyberscoop.
« Notre analyse a mis en évidence que l'utilisation d'un DNS sécurisé réduirait de 92 % la capacité des attaques des logiciels malveillants… passant par des serveurs de commande et contrôle, déployant ainsi des logiciels malveillants sur un réseau », explique Anne Neuberge, directrice de la NSA.
Elle ajoute : « il s’agit d’un modèle qui peut aider à relancer la cybersécurité, en particulier pour les petites et moyennes entreprises qui n’ont peut-être pas la capacité d’investir des ressources ou n’ont pas le personnel qualifié ». Ces PME sont des cibles car elles développent des technologies d’armements pour la Défense.
Commentaires (26)
#1
Bon pour le moment ce n’est que pour un usage interne et je comprends la démarche.
#2
La NSA à vraiment deux facettes une qui veut espionner tout le monde quitte à baisser la sécurité pour cela. Et une autre qui veux qui veut protéger l’Amérique et les américains des risques de piratages qui veut augmenter la sécurité .
#3
À quand leur offre de stockage cloud ?
" />
#4
#5
#6
#7
Si j’ai tout bien compris même en utilisant DOH le serveur voit les requêtes en clair ? Donc ça sous entend une confiance absolu envers ce serveur non ?
" />
Si c’est bien ça qui fait “une confiance absolue” à la NSA ?
#8
C’est plutôt une bonne idée pour augmenter la sécurité lors d’échange d’infos confidentielles entre elle et ses fournisseurs en complément du classique VPN. Rien n’empêche le fournisseur d’avoir un poste dédié à sa relation client avec la NSA et configuré sur ce DNS et d’autres postes de travail sur un réseau à part sur un autre DNS.
#9
#10
Tapez 3615 code NSA sur votre minitel
" />
#11
Bah les “méchants” qui sont contre les USA c’est parfois le peuple des USA xD
" />
J’ai vu une phrase marrante la dessus :
Si les USA voyaient ce que les USA font subir aux USA, nul doute que les USA envahiraient les USA pour libérer les USA du joug des USA.
#12
La backdoor mon ami, la backdoor…
#13
Les deux ne sont pas incompatibles. Comme dit ci-dessus, mettre une backdoor dans un système hyper-sécurisé est un moyen d’atteindre les deux objectifs… Du moins tant que la backdoor reste secrète et inaccessibles aux ennemis.
#14
Mince, grillé.
C’est clair: NSA Backdoor inside :-)
Je parie qu’ils ont récupéré un code github, ils y ont intégré quelques backdoors et ont recompilé tout cela.
Cela fait plusieurs années que CIA et NSA cherchent à imposer l’implémentation de backdoor aux éditeurs logiciels qui vendent sur le territoire américain. Un responsable de la CIA aurait même déclaré en substance “I don’t want to enter the backdoor but the frontdoor” (je ne veux pas rentrer par la porte de derrière mais par l’entrée principale).
Dire qu’en Europe l’ENISA, ANSSI, BSI… continuent de prêcher les critères communs, les certifications locales, les qualifications, les pens test, les bugs bounties… Finalement, c’est sympa l’Europe surtout quand on a rien à se reprocher :-)
#15
#16
J’ai un peu commenté ce projet enhttps://write.as/bortzmeyer/le-resolveur-dns-securise-de-la-nsa
#17
Perso moi je ne vois qu’une facette : America first.
#18
Ce sont de faux américains cela.
" />
#19
#20
Je ne suis même pas sûr que ça augmente réellement la sécurité : Rien n’empêche un malware de contacter des IP directement sans passer pas DNS.
#21
La généralisation progressive du chiffrage de connexion doit pas mal les emmerder dans leur “boulot”, du coup ils essayent de se placer à un des rares endroits stratégiques et restant encore non chiffré aujourd’hui.
Le fait de limiter ça à un très faible nombre de personne je vois plus ça comme une expérimentation de fonctionnement/faisabilité/intérêt “taille réelle” qu’autre chose.
Quoi qu’il se passe, quoi qu’il en ressorte ça restera en interne et c’est le but.
#22
Est-ce qu’il y a, ou a eu, une backdoor dans SE Linux?
#23
#24
#25
#26
Tout le monde fait la même chose, faudrait vivre dans le monde des bisounours pour imaginer le contraire, mais à ma connaissance c’est la 1ère fois qu’une agence étatique spécialisée dans l’espionnage se lance dans le service web “sécurisé”
" />
" />
Parti comme ça on pourrait bientôt voir apparaître un nouvel opérateur de téléphonie mobile : NSA mobile, et pourquoi pas un nouveau FAI : NSA-net, ça donne carrément envie