Alors que la sécurisation des communications sur Internet n’a jamais été autant d’actualité, l’Afnic lance un dossier thématique consacré au protocole DANE
Internet, Intranet, Extranet et Pharmacie HospitalièreADIPh
Ce diaporama expose les différentes technologies utilisées sur Internet, et insiste plus particulièrement les aspects de sécurisation des données. 12 novembre 1998
El documento habla sobre la importancia de desarrollar una marca personal para posicionarse de manera favorable ante otros. Explica que una marca personal consiste en identificar las características, habilidades y valores que hacen a una persona sobresalir y ser relevante. También describe los pasos para construir una marca personal como definir los puntos fuertes, memorizarlos y asegurar que estén reflejados en la forma de comportarse y comunicarse con otros.
El documento describe las instalaciones y equipamiento requeridos para jugar voleibol, incluyendo las dimensiones del área de juego, las líneas de la cancha, la red, el balón y otros elementos. También detalla los requisitos para la composición de los equipos, sus ubicaciones, indumentaria, responsables y sustituciones. Por último, explica las reglas básicas para anotar puntos, ganar sets y partidos, así como situaciones de juego como saques, pases y faltas.
Una gran oportunidad, para:
Empresas y negocios, que deseen fidelizar a sus clientes y ganar nuevos clientes.
Personas que quieran tener un plan B, para generar ingresos pasivos.
Emprendedores, que quieran aprovechar plenamente esta oportunidad, y alcanzar la libertad financiera en un plazo de 2 a 4 años.
Empezó en Austria el 2 de Julio de 2003 y allí ya usan la tarjeta LYONESS el 13% de los habitantes. Actualmente está formada por una red de unos 3 millones de consumidores en más de 41 paises, en todos los continentes. Y ofrecen sus servicios más de 29.000 empresasde todo tipo (alimentación, energía, ropa, música, salud, formación) a través de más de 200.000 puntos de venta, además de las tiendas online asociadas (datos del 13 de febrero del 2013).
Las redes son el futuro, y todo aquel que no haga el salto a las redes, estará perdiendo una gran oportunidad del valor que tienen nuestros contactos. Esta red, es totalmente diferente a otros negocios de network marketing, pues aquí no tienes que vender ningún producto a nadie, ni crear una nueva necesidad. Aquí se reúne a una cooperativa de consumidores, para hacer que los establecimientos devuelvan a los clientes entre un 3 y un 20% del dinero consumido. Es una manera de recuperar el dinero que se llevan las grandes empresas de nuestro bolsillo. Y además usa un sistema inteligente y más evolucionado de redistribución de la riqueza, que hace que nuestro consumo, nos genere prosperidad para el día de mañana.
Algunas de las empresas afiliadas a Lyoness:
El Corte Inglés, Dechatlon, Repsol, Petrocat, Campsa, Europcar, Carrefour, Lidl, MediaMarket, American Airlines, Vistaprint, Porsche, Ferrari, Wall Mart, Exxon Mobil, Foot Lockers, Puma, Sony, Apple, Dell, Let’s Bonus, y muchas más Pymes de todo tipo: restaurantes, clinicas dentales, ópticas, arquitectos, abogados, diseñadores, discotecas, taxis, hoteles. Cualquier tipo de producto o servicio, forma parte de la red global de Lyoness.
PNL SISTÉMICA CÓMO CONSEGUIR OBJETIVOS Y GESTIONAR EL CAMBIOangelcarcar
El documento anuncia un taller de tres días sobre PNL Sistémica para ayudar a los participantes a diseñar objetivos, superar miedos y creencias limitantes, y resolver conflictos, utilizando técnicas de programación neurolingüística, modelos de objetivos y creencias, coaching sistémico y constelaciones estructurales. El taller tendrá lugar del 26 al 28 de julio en Sadhana, Valencia.
Un hombre fallece repentinamente de un ataque al corazón causado por estrés laboral. Desde su perspectiva como espectador, observa el gran dolor que su muerte causa a su familia, especialmente a su esposa e hijos menores que lloran su ausencia y tienen dificultad para aceptar que ya no volverá. Aunque su trabajo y compañeros lo reemplazan fácilmente, deja un vacío irremplazable en su familia. El documento concluye aconsejando valorar a los seres queridos por encima del
Expert information (Jupiter Loop children's flute)Bärbel Tomasi
The document discusses the development of an ergonomic children's flute with a Wave Line head joint. It was created to address issues with children starting flute too early on full-size instruments, which can lead to physical injuries. The Wave Line head joint allows the flute body to remain straight while shortening the instrument, maintaining proper embouchure and finger positioning from an early age. Evaluations found children could play comfortably and learn proper technique without physical tension or compromised sound quality. The ergonomic design aims to prevent future injuries from asymmetric posture often seen in flautists.
Internet, Intranet, Extranet et Pharmacie HospitalièreADIPh
Ce diaporama expose les différentes technologies utilisées sur Internet, et insiste plus particulièrement les aspects de sécurisation des données. 12 novembre 1998
El documento habla sobre la importancia de desarrollar una marca personal para posicionarse de manera favorable ante otros. Explica que una marca personal consiste en identificar las características, habilidades y valores que hacen a una persona sobresalir y ser relevante. También describe los pasos para construir una marca personal como definir los puntos fuertes, memorizarlos y asegurar que estén reflejados en la forma de comportarse y comunicarse con otros.
El documento describe las instalaciones y equipamiento requeridos para jugar voleibol, incluyendo las dimensiones del área de juego, las líneas de la cancha, la red, el balón y otros elementos. También detalla los requisitos para la composición de los equipos, sus ubicaciones, indumentaria, responsables y sustituciones. Por último, explica las reglas básicas para anotar puntos, ganar sets y partidos, así como situaciones de juego como saques, pases y faltas.
Una gran oportunidad, para:
Empresas y negocios, que deseen fidelizar a sus clientes y ganar nuevos clientes.
Personas que quieran tener un plan B, para generar ingresos pasivos.
Emprendedores, que quieran aprovechar plenamente esta oportunidad, y alcanzar la libertad financiera en un plazo de 2 a 4 años.
Empezó en Austria el 2 de Julio de 2003 y allí ya usan la tarjeta LYONESS el 13% de los habitantes. Actualmente está formada por una red de unos 3 millones de consumidores en más de 41 paises, en todos los continentes. Y ofrecen sus servicios más de 29.000 empresasde todo tipo (alimentación, energía, ropa, música, salud, formación) a través de más de 200.000 puntos de venta, además de las tiendas online asociadas (datos del 13 de febrero del 2013).
Las redes son el futuro, y todo aquel que no haga el salto a las redes, estará perdiendo una gran oportunidad del valor que tienen nuestros contactos. Esta red, es totalmente diferente a otros negocios de network marketing, pues aquí no tienes que vender ningún producto a nadie, ni crear una nueva necesidad. Aquí se reúne a una cooperativa de consumidores, para hacer que los establecimientos devuelvan a los clientes entre un 3 y un 20% del dinero consumido. Es una manera de recuperar el dinero que se llevan las grandes empresas de nuestro bolsillo. Y además usa un sistema inteligente y más evolucionado de redistribución de la riqueza, que hace que nuestro consumo, nos genere prosperidad para el día de mañana.
Algunas de las empresas afiliadas a Lyoness:
El Corte Inglés, Dechatlon, Repsol, Petrocat, Campsa, Europcar, Carrefour, Lidl, MediaMarket, American Airlines, Vistaprint, Porsche, Ferrari, Wall Mart, Exxon Mobil, Foot Lockers, Puma, Sony, Apple, Dell, Let’s Bonus, y muchas más Pymes de todo tipo: restaurantes, clinicas dentales, ópticas, arquitectos, abogados, diseñadores, discotecas, taxis, hoteles. Cualquier tipo de producto o servicio, forma parte de la red global de Lyoness.
PNL SISTÉMICA CÓMO CONSEGUIR OBJETIVOS Y GESTIONAR EL CAMBIOangelcarcar
El documento anuncia un taller de tres días sobre PNL Sistémica para ayudar a los participantes a diseñar objetivos, superar miedos y creencias limitantes, y resolver conflictos, utilizando técnicas de programación neurolingüística, modelos de objetivos y creencias, coaching sistémico y constelaciones estructurales. El taller tendrá lugar del 26 al 28 de julio en Sadhana, Valencia.
Un hombre fallece repentinamente de un ataque al corazón causado por estrés laboral. Desde su perspectiva como espectador, observa el gran dolor que su muerte causa a su familia, especialmente a su esposa e hijos menores que lloran su ausencia y tienen dificultad para aceptar que ya no volverá. Aunque su trabajo y compañeros lo reemplazan fácilmente, deja un vacío irremplazable en su familia. El documento concluye aconsejando valorar a los seres queridos por encima del
Expert information (Jupiter Loop children's flute)Bärbel Tomasi
The document discusses the development of an ergonomic children's flute with a Wave Line head joint. It was created to address issues with children starting flute too early on full-size instruments, which can lead to physical injuries. The Wave Line head joint allows the flute body to remain straight while shortening the instrument, maintaining proper embouchure and finger positioning from an early age. Evaluations found children could play comfortably and learn proper technique without physical tension or compromised sound quality. The ergonomic design aims to prevent future injuries from asymmetric posture often seen in flautists.
Este documento describe dos programas educativos: Cerebrito y PySyCache. Cerebrito es un juego de preguntas y respuestas con secciones de astronomía, geografía, historia y más. Ofrece aprendizaje individual o en grupo. PySyCache incluye actividades con objetos y fotos para enseñar el uso del mouse a niños pequeños. Ambos programas son gratuitos y fáciles de instalar.
Este documento presenta la "Lista de alimentos GO-SLOW-WHOA", la cual clasifica los alimentos en tres categorías (GO, SLOW y WHOA) para guiar a los niños y sus familias en la selección de alimentos saludables. Explica que los alimentos GO son más bajos en grasa y azúcar y más naturales, los SLOW contienen más grasa o azúcar y son más procesados, y los WHOA son los más altos en grasa y azúcar y más procesados. Además, provee ejemplos detallados de
The document describes a handmade device that revitalizes water without using energy or physical contact. It contains platinum, silver, gold, and over 4,000 vitamins and minerals. The device transfers frequencies and information to water through a silver coil. It is patented and has a 25 year warranty.
This document summarizes a presentation about email marketing best practices. The presentation covered the following key points:
1. The speaker discussed using the five questions framework for email marketing - defining your goals, understanding your audience, crafting the right message, choosing delivery tactics, and measuring results.
2. Different types of emails were reviewed - informational, relational, and promotional. Informational emails aim to increase exposure, relational emails focus on building relationships, and promotional emails seek to obtain donations or drive attendance.
3. Audience segmentation and targeting the right message to the right groups was a major theme. Tools like eTapestry allow querying lists and personalizing content for different supporter types.
Chief Marketing Officers at Work PAdams Ch 7Patrick Adams
Patrick Adams is currently the head of consumer marketing at PayPal. He has over 20 years of experience in strategic marketing roles. He began his career in a management training program at a major bank, where he discovered his passion for marketing. Throughout his career, he has taken opportunities that allowed him to expand his marketing experience across different industries, including financial services, music, retail, and payments. He is now leading PayPal's efforts to shift from a merchant-focused to consumer-focused business.
The document discusses economic analysis of solar photovoltaic power generation based on life-cycle costing. It establishes a cost model for solar PV power that considers initial investment costs, annual operation and maintenance costs, loan interest costs, return on capital costs, and annual power generation capacity. A sensitivity analysis method is used to quantitatively analyze how changes to crucial factors like PV module prices and annual sunlight hours impact the overall cost of solar PV power generation. The goal is to better understand the economic efficiency of solar PV and identify key cost factors to help guide government policies and industry development.
Programa
Liderazgo consciente
Para directores y profesionales de sanidad.
Descubra un programa de formación que proporciona los conocimientos, habilidades y actitudes, que facilitan un adecuado desempeño profesional.
Este documento presenta una introducción a un libro sobre ver la vida como un negocio y descubrir el "Yo Corporativo C.A." El autor argumenta que la habilidad para negociar determina la calidad de vida y que las personas son como corporaciones que pueden aumentar su valor. El documento también incluye un índice de contenidos del libro.
This document summarizes information presented by Sally Perez-Ramos from St. Edward's University and Gabriel Jimenez from Texas Tech University at the SoACE16 conference on developing social media, email marketing, and graphic design strategies. It provides an overview of their universities and career services offices. It also lists resources they use for email marketing, social media, and identifying graphic design trends. Key recommendations include developing cohesive social media calendars, finding recent design trends for inspiration, and optimizing email marketing for students.
Este documento resume la ruta de una visita turística a una mina en Fresnillo. Describe los diferentes nichos y exhibiciones que muestran la evolución de la minería, desde las herramientas y técnicas primitivas hasta la maquinaria moderna. También describe brevemente la historia de la mina y cómo se formó el nombre de Fresnillo. La ruta dura aproximadamente una hora y media y conduce a los visitantes a través de túneles, vetas y exhibiciones sobre la extracción de minerales a lo larg
O documento descreve a política expansionista de D. João II de Portugal no século XV, que visava alcançar a Índia por mar contornando a África. Isto levou a uma rivalidade com Castela que foi resolvida no Tratado de Tordesilhas em 1494, dividindo as terras a serem descobertas entre os dois reinos.
DOSSIER INFORMATIVO COMPLETO SOBRE EL CICO DE FORMACION EN TERAPIAS PARA ANIMALES PRESENTADO POR:
Animal´s Universe Terapias para animales
(España) y la Fundación Instituto Colombiano de Homeopatía Luis G. Paez-FICH
Bogotá D.C. Mayo 22 al 11 de Junio de 2012
Informes e inscripciones
info.animalsuniverse@gmail.com
Charla realizada el pasado día 29 de Octubre de 2012 en la Cámara de Comercio de Alcañiz - Teruel sobre la creación de una e-commerce y los costes que conlleva.
El documento describe el cuidado de enfermería al paciente quirúrgico durante el transoperatorio. La enfermera quirúrgica realiza interrogantes para garantizar la seguridad y bienestar del paciente, identificar problemas potenciales y brindar los cuidados necesarios. Durante esta etapa, la enfermera asiste al cirujano y planifica los cuidados basándose en el diagnóstico médico, la intervención quirúrgica y la anatomía de la zona operatoria.
Este documento describe la comunicación corporativa. Define la comunicación como el proceso de transmitir información entre entidades, alterando el estado de conocimiento del receptor. Explica que la comunicación corporativa integra todos los recursos de comunicación de una organización para llegar a sus públicos objetivo. También describe los tipos de comunicación, el proceso de comunicación, y la importancia de planificar estratégicamente la comunicación corporativa para lograr los objetivos de una organización.
Description du protocole SSL/TLS. Présentation du protocole et de ses terminologies. Découverte de divers méchanismes de chiffrement. Ensuite le document abordera la notion de certificat: les différents types de certificats, leur génération et installation. Enfin un bref aperçu sur les diffrérences qui existent entre le TLS et le SSL
Este documento describe dos programas educativos: Cerebrito y PySyCache. Cerebrito es un juego de preguntas y respuestas con secciones de astronomía, geografía, historia y más. Ofrece aprendizaje individual o en grupo. PySyCache incluye actividades con objetos y fotos para enseñar el uso del mouse a niños pequeños. Ambos programas son gratuitos y fáciles de instalar.
Este documento presenta la "Lista de alimentos GO-SLOW-WHOA", la cual clasifica los alimentos en tres categorías (GO, SLOW y WHOA) para guiar a los niños y sus familias en la selección de alimentos saludables. Explica que los alimentos GO son más bajos en grasa y azúcar y más naturales, los SLOW contienen más grasa o azúcar y son más procesados, y los WHOA son los más altos en grasa y azúcar y más procesados. Además, provee ejemplos detallados de
The document describes a handmade device that revitalizes water without using energy or physical contact. It contains platinum, silver, gold, and over 4,000 vitamins and minerals. The device transfers frequencies and information to water through a silver coil. It is patented and has a 25 year warranty.
This document summarizes a presentation about email marketing best practices. The presentation covered the following key points:
1. The speaker discussed using the five questions framework for email marketing - defining your goals, understanding your audience, crafting the right message, choosing delivery tactics, and measuring results.
2. Different types of emails were reviewed - informational, relational, and promotional. Informational emails aim to increase exposure, relational emails focus on building relationships, and promotional emails seek to obtain donations or drive attendance.
3. Audience segmentation and targeting the right message to the right groups was a major theme. Tools like eTapestry allow querying lists and personalizing content for different supporter types.
Chief Marketing Officers at Work PAdams Ch 7Patrick Adams
Patrick Adams is currently the head of consumer marketing at PayPal. He has over 20 years of experience in strategic marketing roles. He began his career in a management training program at a major bank, where he discovered his passion for marketing. Throughout his career, he has taken opportunities that allowed him to expand his marketing experience across different industries, including financial services, music, retail, and payments. He is now leading PayPal's efforts to shift from a merchant-focused to consumer-focused business.
The document discusses economic analysis of solar photovoltaic power generation based on life-cycle costing. It establishes a cost model for solar PV power that considers initial investment costs, annual operation and maintenance costs, loan interest costs, return on capital costs, and annual power generation capacity. A sensitivity analysis method is used to quantitatively analyze how changes to crucial factors like PV module prices and annual sunlight hours impact the overall cost of solar PV power generation. The goal is to better understand the economic efficiency of solar PV and identify key cost factors to help guide government policies and industry development.
Programa
Liderazgo consciente
Para directores y profesionales de sanidad.
Descubra un programa de formación que proporciona los conocimientos, habilidades y actitudes, que facilitan un adecuado desempeño profesional.
Este documento presenta una introducción a un libro sobre ver la vida como un negocio y descubrir el "Yo Corporativo C.A." El autor argumenta que la habilidad para negociar determina la calidad de vida y que las personas son como corporaciones que pueden aumentar su valor. El documento también incluye un índice de contenidos del libro.
This document summarizes information presented by Sally Perez-Ramos from St. Edward's University and Gabriel Jimenez from Texas Tech University at the SoACE16 conference on developing social media, email marketing, and graphic design strategies. It provides an overview of their universities and career services offices. It also lists resources they use for email marketing, social media, and identifying graphic design trends. Key recommendations include developing cohesive social media calendars, finding recent design trends for inspiration, and optimizing email marketing for students.
Este documento resume la ruta de una visita turística a una mina en Fresnillo. Describe los diferentes nichos y exhibiciones que muestran la evolución de la minería, desde las herramientas y técnicas primitivas hasta la maquinaria moderna. También describe brevemente la historia de la mina y cómo se formó el nombre de Fresnillo. La ruta dura aproximadamente una hora y media y conduce a los visitantes a través de túneles, vetas y exhibiciones sobre la extracción de minerales a lo larg
O documento descreve a política expansionista de D. João II de Portugal no século XV, que visava alcançar a Índia por mar contornando a África. Isto levou a uma rivalidade com Castela que foi resolvida no Tratado de Tordesilhas em 1494, dividindo as terras a serem descobertas entre os dois reinos.
DOSSIER INFORMATIVO COMPLETO SOBRE EL CICO DE FORMACION EN TERAPIAS PARA ANIMALES PRESENTADO POR:
Animal´s Universe Terapias para animales
(España) y la Fundación Instituto Colombiano de Homeopatía Luis G. Paez-FICH
Bogotá D.C. Mayo 22 al 11 de Junio de 2012
Informes e inscripciones
info.animalsuniverse@gmail.com
Charla realizada el pasado día 29 de Octubre de 2012 en la Cámara de Comercio de Alcañiz - Teruel sobre la creación de una e-commerce y los costes que conlleva.
El documento describe el cuidado de enfermería al paciente quirúrgico durante el transoperatorio. La enfermera quirúrgica realiza interrogantes para garantizar la seguridad y bienestar del paciente, identificar problemas potenciales y brindar los cuidados necesarios. Durante esta etapa, la enfermera asiste al cirujano y planifica los cuidados basándose en el diagnóstico médico, la intervención quirúrgica y la anatomía de la zona operatoria.
Este documento describe la comunicación corporativa. Define la comunicación como el proceso de transmitir información entre entidades, alterando el estado de conocimiento del receptor. Explica que la comunicación corporativa integra todos los recursos de comunicación de una organización para llegar a sus públicos objetivo. También describe los tipos de comunicación, el proceso de comunicación, y la importancia de planificar estratégicamente la comunicación corporativa para lograr los objetivos de una organización.
Description du protocole SSL/TLS. Présentation du protocole et de ses terminologies. Découverte de divers méchanismes de chiffrement. Ensuite le document abordera la notion de certificat: les différents types de certificats, leur génération et installation. Enfin un bref aperçu sur les diffrérences qui existent entre le TLS et le SSL
Blockchain au-delà de la finance : pourquoi toutes les industries sont concer...Microsoft Ideas
De nombreuses industries sont susceptibles d’être transformées par la technologie blockchain. Après une introduction rappelant ce qu’est la technologie blockchain, cette session vous donnera un aperçu sur la façon dont ce nouveau paradigme de gestion de la confiance peut bénéficier à des secteurs comme l’assurance, l’industrie (IoT, chaîne d’approvisionnement.), distribution d’énergie, services publics…
La sécurité dans un monde principalement mobile et Cloud.
Azure Active Directory
Protégez votre entreprise grâce à la gestion des identités et des accès dans le Cloud.
- Protection avec Windows 10.
- Office 365 Sécurité.
Authentification Multi-facteurs
Mobile Device Management
Rights Management
Data. Loss Prevention
Anti-malware / Anti-spam
Détection d’anomalies
Rapports d’activité
Remédiation (reset password, lock account, wipe device)
Contrôle sur le partage extérieur
- ATP : Sécurité avancée Messagerie
- Sécurité avancée des données AIP
- MDM Microsoft Intune
- Azure Security Center
L’émergence de larges répertoires de données sémantiques et interconnectées crée de nouvelles opportunités quant à l’utilisation et au partage d’informations au sein d’applications intelligentes. Cette nouvelle façon de publier des données aide à la découverte d’informations structurées et contextuelles ainsi qu’à la réutilisation de données existantes. Dans ce contexte, il est important pour un individu ou une organisation de distribuer ces informations selon le même principe afin d’assurer la pérennité et le partage de ces données sémantiques.
Pour l’instant, la plupart des publications sur le Web de Données sont le plus souvent soit complètement ouvertes (Open Linked Data), soit complètement fermées (intranets). De plus, la publication de ces données reste restreinte à la publication de larges ensembles de données approuvées et éditées par de larges organisations limitant ainsi la création de base de données individuelles nécessaires au développement d’un Sémantique Web centré autour de ses utilisateurs plutôt que sur ses données (Social Semantic Web).
Avant de mettre à disposition ses informations, un individu ou une organisation a besoin d’être sûr que ses informations sont uniquement accessibles et modifiables par des personnes autorisées. Dans ce contexte, il est impératif d’identifier l’entité qui publie une information particulière ainsi que la personne qui essaie d’y accéder ou de la modifier. Il requiert d’organiser le Web de Données autour de répertoires personnels et décentralisés combinant à la fois la représentation d’un individu, son identification (et authentification) ainsi que ses informations tout en gérant leur accès.
Bien que le web sémantique contienne ses propres modèles identitaires (FOAF and WebID) et protocoles chargés d’identifier et autoriser des communications entre différentes parties (FOAF+SSL), il n’existe pour l’instant aucune plateforme combinant ces différentes technologies.
Asterid est un serveur de données sémantiques qui permet d’organiser et de partager des informations structurées autour de répertoires de données privées et personnelles tout en supportant l’identification et authentification de leur créateur et utilisateur.
Notre présentation sera l’occasion de montrer les différents modèles nécessaires au développement d’une telle architecture : le Web de données, l’ontologie FOAF, le protocole d’identification FOAF+SSL ainsi que la gestion de contrôle d’accès sur le Web Sémantique. Notre présentation alternera entre l’introduction de ces modèles théoriques et leur effective application dans la plateforme Asterid.
La sécurité de tout système dépend à la fois de la sécurisation de ses différentes composantes et des interactions entre celles-ci. Ce constat est aussi valable pour le DNS (Domain Name System), maillon clé du fonctionnement de l’Internet, car la quasi-totalité des services en ligne utilise des noms de domaine à un moment ou à un autre.
L’Afnic publie désormais un bilan trimestriel de ses procédures alternatives de résolution de litiges. Découverte de l’étude de ce premier trimestre 2015.
Securing Internet communications end-to-end with the DANE protocolAfnic
Highlighting the fact that securing communications over the Internet is more important than ever before, Afnic launches an issue paper on the DANE protocol
AFNIC just published a Practical Guide to DNSSEC deployment: this implementation and deployment manual provides practical guidance for DNS hosts to configure DNSSEC on their infrastructure;
L'Afnic vient de publier un guide pratique de déploiement de DNSSEC : ce manuel de mise en œuvre et de déploiement permet d’aider concrètement les hébergeurs de DNS à configurer DNSSEC sur leurs infrastructures. Plus d'information sur http://www.afnic.fr/fr/l-afnic-en-bref/actualites/actualites-generales/7380/show/l-afnic-s-engage-dans-la-promotion-de-dnssec-2.html
The document discusses the life cycle of .FR domain names. Domain names are registered for 1 to 10 years and must be renewed before expiration to remain active. Domain names that are not renewed on time will first be put on hold, then deleted and made available for new registration after a certain waiting period if not renewed by the original owner.
Voir cette présentation en vidéo sur http://www.youtube.com/watch?v=mLQT_i-Lgsk
Isabelle Chrisment (Inria) présente "L'initiative PLATON (PLATeforme d'Observation de l'interNet) lors de la Journée du Conseil scientifique de l'Afnic 2013 (JCSA2013), le 9 juillet 2013 dans les locaux de Télécom ParisTech.
JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...Afnic
Voir la présentation en vidéo sur http://www.youtube.com/watch?v=lhkAtsCm6fw
Pierre Lorinquer (ANSSI) et Samia M'Timet (Afnic) présentent l'essentiel de l'Observatoire 2012 de la résilience de l'Internet en France lors de la Journée du Conseil scientifique de l'Afnic 2013 (JCSA2013), le 9 juillet 2013 dans les locaux de Télécom ParisTech.
L'Observaoire en question est en ligne sr http://www.afnic.fr/fr/l-afnic-en-bref/actualites/actualites-generales/7126/show/l-observatoire-sur-la-resilience-de-l-internet-francais-publie-son-rapport-2012-2.html
JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...Afnic
Voir la présentation en vidéo sur http://www.youtube.com/watch?v=Om1zqb2VuPM
Luigi Iannone (Télécom ParisTech) présente "Vers un renforcement de l'architecture Internet : le protocole LISP ("Locator/Identifier Separation Protocol")" lors de la Journée du Conseil scientifique de l'Afnic 2013 (JCSA2013), le 9 juillet 2013 dans les locaux de Télécom ParisTech.
JCSA2013 05 Pascal Thubert - La frange polymorphe de l'InternetAfnic
Pascal Thubert (Cisco) présente "La frange polymorphe de l'Internet" lors de la Journée du Conseil scientifique de l'Afnic 2013 (JCSA2013), le 9 juillet 2013 dans les locaux de Télécom ParisTech.
JCSA2013 04 Laurent Toutain - La frange polymorphe de l'InternetAfnic
Voir la vidéo sur http://www.youtube.com/watch?v=tVzz_CSFs8A
Laurent Toutain (Télécom Bretagne) présente "La frange polymorphe de l'Internet" lors de la Journée du Conseil scientifique de l'Afnic 2013 (JCSA2013), le 9 juillet 2013 dans les locaux de Télécom ParisTech.
JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...Afnic
Retrouvez la vidéo en français sur http://www.youtube.com/watch?v=3ezs-JDac0k
Christian Jacquenet (Orange Labs) présente "Un nouveau shéma d'acheminement de trafic déterministe" lors de la Journée du Conseil scientifique de l'Afnic 2013 (JCSA2013), le 9 juillet 2013 dans les locaux de Télécom ParisTech.
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...Afnic
Voir la vidéo de cette présentation sur http://www.youtube.com/watch?v=HW1gkg8D7s8
Stéphane Bortzmeyer (Ingénieur R&D à l'Afnic) présente son tutoriel "Tout réseau a besoin d'identificateurs. Lesquels choisir ?" lors de la Journée du Conseil scientifique de l'Afnic 2013 (JCSA2013), le 9 juillet 2013 dans les locaux de Télécom ParisTech.
Au sujet de ce tutoriel, Stéphane Bortzmeyer indique :
Dans tout réseau, il faut identifier les objets (machines, humains, programmes en cours
d'exécution, fichiers, etc.). Cela a toujours mené à des très longs débats. Par exemple, dans les cours universitaires classiques, mais aussi dans des normes techniques comme le RFC 791, on trouve de savantes définitions des noms, des adresses, des routes, définitions que je trouve imparfaites et qui, surtout, ne collent pas du tout avec la réalité de l'Internet. On entend aussi souvent des erreurs comme de prétendre qu'un URL indique où se trouve une ressource (rien n'est plus faux). Il vaut donc mieux adopter une autre perspective, celle des propriétés.
Plutôt que d'essayer de définir la différence entre un nom et une adresse, ou de reprendre le débat philosophique entre URL et URN, attachons-nous à déterminer les propriétés des différents types d'identificateurs et voyons lesquelles sont importantes pour chaque cas d'usage.
La discussion est d'autant plus importante que, si certains identificateurs n'ont qu'on rôle technique et sont largement cachés à l'utilisateur (pensons aux adresses MAC par exemple), d'autres sont un vecteur d'identité.
Sur l'Internet, vous n'êtes pas Jean Dupont, né le 3 octobre 1978 à Bois-le-Roi, vous êtes "jdupont43" sur Twitter, vous êtes jean.dupont.fr, vous êtes jeannot@gmail.com, et
ces identificateurs, qui apparaissent à tous, sont votre identité. La première partie de l'exposé portera donc sur ces vecteurs d'identité. Quel est notre futur ?
Quelle identité sera la principale ? Aurons-nous une pluralité d'identités ou bien Facebook sera t-il le seul fournisseur d'identité (comme c'est le cas aujourd'hui pour certaines entreprises qui mettent leur identifiant Facebook sur leurs cartes de visite et publicités) ? Les identités seront-elles basées sur un système centralisé comme Facebook, sur un système arborescent comme les noms de domaine (avec, par exemple, la technologie WebFinger) ou sur autre chose ?
La deuxième partie sera consacrée aux identificateurs fondés sur le contenu. Popularisés par les magnets (utilisés notamment par BitTorrent), normalisés sous la forme des URI "ni", quelle place prendront-ils dans le bestiaire des identificateurs ? Des systèmes de résolution efficaces seront-ils mis en place pour ces identificateurs ?
The document discusses the introduction of new generic top-level domains (gTLDs) by the Internet Corporation for Assigned Names and Numbers (ICANN). It notes that while most domain names use .com and country code TLDs, ICANN's new gTLD program will allow for greater diversification. The new gTLDs will launch starting in late 2013, with some targeting specific regions, communities or industries. However, uptake of new gTLDs will depend on promotion efforts and whether users find them intuitive. The document analyzes challenges around establishing new gTLDs and ensuring users understand and adopt them.
Observatoire sur la résilience Internet en France-2012Afnic
Créé par l’Afnic & l’ANSSI, il a pour objectifs de définir puis de mesurer des indicateurs représentatifs de la résilience de l'Internet français.
Plus d'information sur http://www.afnic.fr/fr/l-afnic-en-bref/actualites/actualites-generales/7126/show/l-observatoire-sur-la-resilience-de-l-internet-francais-publie-son-rapport-2012-2.html
Afnic Public Consultation overview on the Opening of 1 and 2 charactersAfnic
This document provides an overview of a public consultation conducted by Afnic, the .fr registry, regarding opening registration of 1 and 2 character domain names under .fr. The consultation gathered opinions on possible opening procedures and naming restrictions through an online survey. Most discussion of the consultation was positive on social media. Contributions recommended a sunrise period to protect rights holders, special high pricing to prevent speculation, and limited naming restrictions. In general, the consultation suggested opening with a sunrise period, dissuasive pricing, and limited restrictions for 1 and 2 character .fr domains.
Synthèse de la Consultation publique Afnic sur l'ouverture 1 et 2 caractères
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
1. Dossier thématique n°12
Sécuriser les communications
sur Internet de bout-en-bout
avec le protocole DANE
Aujourd’hui, près de 2,5 milliards de personnes utilisent Internet pour communiquer et fournir/obtenir des informations. Lorsque la communication concerne des informations sensibles telles que des coordonnées bancaires,
des numéros de cartes de crédit, des dossiers médicaux, etc., la méthode de communication doit être sécurisée.
L’échange d’informations sur l’Internet n’est pas sécurisé par défaut, ce qui induit un risque variable d’attaques
malveillantes telles que la corruption des données, l’usurpation d’identité, etc.
Avec l’évolution de l’Internet, de nouveaux mécanismes de sécurité sont devenus nécessaires, que ce soit en raison de l’émergence de nouveaux types d’attaques ou de l’identification de nouvelles failles de sécurité. Des solutions ont été proposées et déployées progressivement. Ces solutions comprennent entre autres IPSec (Internet
Protocol Security) pour sécuriser la couche réseau (également appelée couche IP), TLS (Transport Layer Security)
pour sécuriser la communication entre deux applications Internet, telles qu’un serveur Web et un navigateur Web,
DNSSEC (Domain Name System Security Extensions) pour sécuriser le processus de résolution DNS, etc.
1
Énoncé du problème
2
Une solution permettant de
déployer un dispositif de
sécurité de bout-en-bout :
DANE
3
En conclusion : DANE ou
la pièce jusqu’à présent
manquante au dispositif de
sécurisation de bout-en-bout
de l’Internet ?
Ces dernières années, des attaques de haut niveau, ciblant l’infrastructure à clés publiques X.509 (PKIX) utilisée pour sécuriser les
communications Internet, ont suscité un besoin urgent d’une technologie permettant de corriger la faille de sécurité présente dans
l’écosystème PKIX. C’est dans ce contexte que la communauté
IETF (Internet Engineering Task Force) a proposé le protocole/mécanisme DANE (DNS - based Authentication of Named Entities) qui
s’appuie sur le DNS pour authentifier des entités applicatives.
Ce document explique le protocole DANE et comment DANE pourrait apporter la confiance nécessaire dans l’infrastructure du dernier
kilomètre en s’appuyant sur DNSSEC. Ce document est destiné à un
public ayant une certaine connaissance des protocoles d’Internet en
général et du système de noms de domaine (DNS) en particulier. Ce
document présente le protocole DANE et explique comment DANE
corrige la faille de sécurité existant dans l’Internet tout en assurant
une communication de bout-en-bout. Ce dossier thématique n’est
pas suffisant pour permettre à un administrateur de domaine d’implémenter DANE.
Association Française pour le Nommage Internet en Coopération | www.afnic.fr | contact@afnic.fr | Twitter : @AFNIC | Facebook : afnic.fr
2. Dossier thématique n°12
La figure suivante illustre une communication Internet type, une navigation sur le Web :
Différents types
d’attaques possibles
lors de cette
communication
Communication
non chiffrée
1
192.134.4.20
www.afnic.fr ?
Fig. 1 :
Communication
Internet
typique avec
possibilités
d’attaque au
cours des deux
opérations
2
http://www.afnic.fr
Cette figure met en évidence deux opérations :
1. Étant donné que le cerveau humain n’est pas capable de mémoriser un grand nombre de numéros (adresses
IP) à la fois, mais qu’il est bien équipé pour se souvenir de noms, des noms de domaine sont normalement utilisés lors de l’interrogation d’un service sur Internet. Mais, étant donné que les applications Internet ont besoin
d’adresses IP pour communiquer entre elles, le DNS est utilisé comme «Annuaire de noms», généralement
pour obtenir l’adresse IP associée à un serveur donné identifié par son nom.
2. L’adresse IP obtenue est ensuite utilisée par l’application (c.-à-d. le navigateur Web illustré en Figure 1) pour
engager une communication Internet avec le serveur Web distant.
Les deux opérations mentionnées précédemment ne sont pas intrinsèquement sécurisées. Par défaut, lorsque
des informations sont transmises au cours de la résolution DNS ou lors d’un accès au serveur pour échanger
des données, aucune procédure d’authentification ou de chiffrement n’est appliquée. Il existe par conséquent au
cours de ces opérations de nombreuses possibilités permettant à un attaquant de fournir de fausses informations,
comme une adresse IP frauduleuse lors de la résolution DNS, et de rediriger ainsi l’utilisateur vers un serveur
frauduleux.
En ce qui concerne la première opération (résolution DNS), la sécurisation de la communication peut être assurée
par DNSSEC. Nous décrirons plus loin dans ce dossier comment DNSSEC améliore la sécurité. Pour la seconde
opération (connexion entre le navigateur et le serveur Web), le protocole TLS vient à la rescousse en permettant
au client et au serveur de s’authentifier mutuellement et de négocier un algorithme de chiffrement et des clés
cryptographiques avant que les données ne soient échangées. TLS garantit que les données ne peuvent être lues
ou altérées par un tiers lors du transfert, puisqu’elles sont chiffrées.
2
Association Française pour le Nommage Internet en Coopération | www.afnic.fr | contact@afnic.fr | Twitter : @AFNIC | Facebook : afnic.fr
3. Dossier thématique n°12
Le chiffrement et le déchiffrement des données dans le protocole TLS s’effectuent au moyen d’une paire de clés
cryptographiques : une clé publique et une privée. Les données chiffrées avec une clé publique ne peuvent être
déchiffrées qu’avec la clé privée correspondante, et vice versa. Cela permet d’avoir une communication sécurisée avec des utilisateurs inconnus. Par exemple, une banque publie sa clé publique et permet à quiconque de la
télécharger. Titulaire d’un compte à la banque, Alice chiffre un message à l’aide de la clé publique et l’envoie à la
banque. Seule la banque est en mesure de déchiffrer ce message avec sa clé privée. Ainsi Alice est sûre que son
message ne sera pas lu par quelqu’un d’autre.
Dans une connexion TLS, le navigateur demande au serveur Web d’envoyer sa clé publique. La clé publique
envoyée par le serveur Web au navigateur est sous la forme d’un certificat X.509, qui est expliquée plus en détail
dans la section II.
1
Énoncé du problème
Infrastructure à clé publique X.509 (PKIX)
En revanche, il existe une possibilité qu’un imposteur publie sa clé publique et se fasse passer pour la banque
d’Alice. Alice va chiffrer le message en utilisant la clé publique présentée par l’imposteur et l’envoyer à sa banque,
où l’imposteur agit comme intercepteur (“man-in-the-middle”) et copie le message. Étant propriétaire de la clé
publique, l’imposteur possède également la clé privée lui permettant de déchiffrer et de lire le message. Pour faire
une analogie avec la navigation sur le Web, n’importe qui peut créer une clé publique pour accéder à n’importe
quel nom de domaine. En termes de sécurité, c’est une catastrophe, car un imposteur peut créer une clé publique
pour des domaines tels que www.example.com, et tromper l’utilisateur en le faisant accéder à un serveur frauduleux.
Il est donc nécessaire d’établir un lien entre l’identité (le nom de domaine) et la clé publique. La norme X.509
proposée par l’UIT et l’ISO propose un mécanisme permettant de lier une clé publique particulière à une identité
particulière. Cette liaison peut être établie de manière autonome par le titulaire du nom de domaine et l’on parle
dans ce cas d’un certificat auto-signé. Si l’application qui, pour l’authentification, utilise le certificat auto-signé l’a
obtenu auprès d’une source fiable, alors le certificat est accepté ; dans le cas contraire, il n’y a aucune garantie
d’authenticité du certificat.
Rôle des Autorités de Certification (AC)
C’est là que la nécessité d’un tiers de confiance se pose. C’est comme dans le cas du passeport, où le tiers de
confiance est le gouvernement qui a délivré le passeport. Dans un passeport, le gouvernement atteste que la
personne sur la photo est identifiée par un nom et un prénom particuliers et d’autres informations d’identification.
Dans le cas de la navigation sur le Web, le certificat délivré fait office de passeport. Dans l’écosystème PKIX, le
rôle du gouvernement est joué par des organisations appelées “AC”. Un certificat émis par une AC associe le nom
de domaine donné à des informations telles que l’entité ayant attribué le certificat, l’entité qui en a fait la demande,
la période de validité du certificat, etc.
3
Association Française pour le Nommage Internet en Coopération | www.afnic.fr | contact@afnic.fr | Twitter : @AFNIC | Facebook : afnic.fr
4. Dossier thématique n°12
De la même manière qu’un passeport délivré par un gouvernement est accepté par d’autres gouvernements en
tant que document valide permettant d’authentifier une personne, les éditeurs de navigateurs, tels que Firefox,
Chrome, Internet Explorer, Safari, etc., acceptent les certificats numériques établis uniquement par certaines
autorités de certification. Les éditeurs de navigateurs n’autorisent une organisation à devenir une AC qu’après
s’être assurés que cette organisation est digne de confiance et qu’elle observe des principes et des procédures
bien définis en ne délivrant des certificats qu’aux titulaires officiels de noms de domaine. Lorsque les éditeurs de
navigateurs autorisent une organisation à devenir une AC, cette dernière est ajoutée à la liste des AC de confiance
dans la bibliothèque du navigateur. Ainsi, lorsqu’un client utilisant un navigateur accède à un nom de domaine
qui dispose d’un certificat numérique généré par l’une des AC figurant dans sa liste préinstallée, le certificat est
automatiquement accepté comme le montre la Figure 2.
Fig. 2 : La communication entre le navigateur et le serveur
Web est sécurisée en utilisant l’écosystème PKIX et TLS,
mais des attaques restent toutefois possibles
Différents types
d’attaques possibles
lors de cette
communication
Obtient le certificat
Web pour commencer
la communication
sécurisée
2
Une attaque
est possible en
compromettant l’une
des AC de la liste, en
générant un certificat
pour le domaine
concerné et en
envoyant ce certificat
au client avant que
celui-ci ne reçoive le
certificat original.
192.134.4.20
1
www.afnic.fr ?
Adresse IP
du domaine
demandé
1
IP adress of the
domain requested
3
Le navigateur valide le certificat
délivré par l’AC (si celle-ci
figure dans sa liste par défaut)
mentionnée dans le certificat
https://www.afnic.fr
4
Une connexion chiffrée
sécurisée est établie avec TLS
4
Association Française pour le Nommage Internet en Coopération | www.afnic.fr | contact@afnic.fr | Twitter : @AFNIC | Facebook : afnic.fr
5. Dossier thématique n°12
Le problème des AC nombreuses
En bref, si l’on regarde la longueur de la liste des AC reconnues par les navigateurs les plus courants comme
Chrome, Firefox, Internet Explorer, etc., celle-ci varie, mais est de l’ordre de plusieurs centaines. Par exemple,
un navigateur tel que Firefox reconnaît 1 482 certificats d’AC (selon l’observatoire SSL1 de l’EFF) fournies par 651
organisations. S’ajoute au problème l’existence d’une pratique, au sein de l’écosystème des AC, consistant pour
une AC à autoriser d’autres organisations, ou ses succursales, à générer des certificats en son nom. Ces organisations ou succursales sont appelées des AC subordonnées. Un navigateur reconnaîtra également le certificat
numérique créé par une AC subordonnée.
Même si une seule AC dans la liste des autorités de certification est compromise, ou ses subordonnées, elle peut
générer un certificat pour un nom de domaine qui pourrait être authentifié par un navigateur tel que Firefox et
compromettre ainsi la communication Web sécurisée d’un utilisateur final utilisant Firefox. Par exemple, deux AC
différentes (dont l’une est compromise) peuvent émettre deux certificats différents pour le même domaine et ces
deux certificats seront acceptés par le navigateur. La faille réside dans le fait que jusqu’à présent le titulaire d’un
domaine n’avait aucun moyen d’indiquer au monde quels AC ou certificats devaient être utilisés pour authentifier
la connexion au serveur d’un domaine particulier.
Nécessité d’une solution
L’utilisation de PKIX pour sécuriser les communications Web n’est pas nouvelle. Les éditeurs de navigateurs,
utilisateurs et organismes de normalisation sont tous conscients du problème - «Problème des AC nombreuses». Il y a eu quelques tentatives d’atténuation du problème (Perspectives, ToFU (Trust on First Use),
Channel ID, Certificate Transparency, etc.), mais ces tentatives sont devenues plus ciblées après les deux
attaques de haut niveau sur les AC Comodo et DigiNotar.
La chronologie des événements est la suivante. Comodo a découvert que l’une de ses Autorités d’enregistrement2
(AE) affiliées avait été compromise le 15 mars 2011 et que l’attaquant avait créé un compte utilisateur avec l’AE
affiliée. Avec ce compte, l’attaquant a créé des Demandes de signature de certificat pour des sites Web de grande
valeur tels que login.live.com, mail.google.com, login.yahoo.com etc. et l’on croit qu’il a obtenu au moins un certificat public X.509 pour ces sites (à partir de ses 9 demandes).
Sans entrer dans les aspects politiques de cette attaque, un attaquant ayant créé des certificats frauduleux,
comme dans le cas de Comodo, pourrait agir comme intercepteur (Man-in-the-middle) et rediriger l’utilisateur vers
un faux serveur ressemblant à celui du site d’origine (hameçonnage ou phishing). Les certificats fournis par le faux
serveur seront acceptés par le navigateur, car ils sont générés par une AC reconnue par le navigateur. Tout ce
que l’utilisateur lit ou écrit (nom d’utilisateur, mot de passe, email, etc.) peut être vu et copié par le faux serveur.
1
https://www.eff.org/observatory
Les AE recueillent et vérifient les informations d’identité provenant d’Abonnés Directs à l’aide de procédures mettant en œuvre les politiques de validation d’identité. Les AE créent les Demandes de Signature de Certificat pour soumission à une AC. L’AC signe les Demandes de signature de certificat et délivre les certificats
publics X.509 aux abonnés directs.
2
5
Association Française pour le Nommage Internet en Coopération | www.afnic.fr | contact@afnic.fr | Twitter : @AFNIC | Facebook : afnic.fr
6. Dossier thématique n°12
Selon les rapports, le pirate qui a pénétré dans Comodo est également parvenu à s’introduire dans les systèmes
DigiNotar. Bien que l’attaque ait été révélée au public à la fin août 2011, l’enquête montre que l’intrus accédait
au système DigiNotar depuis le 17 juin 2011. Tout comme dans le cas de l’attaque Comodo, l’intrus a créé des
certificats numériques frauduleux pour des sites Web prestigieux. L’enquête révèle également que les certificats
générés ont été utilisés pour rediriger des utilisateurs vers de faux serveurs et obtenir leurs informations d’identification.
DigiNotar et Comodo n’étaient pas des entreprises ordinaires. Ce sont des sociétés de sécurité de haut niveau
auxquelles de nombreuses organisations, y compris des gouvernements, et des millions d’utilisateurs accordent
leur confiance. Les attaques ultérieures sur des sociétés de haut niveau ont montré qu’il ne suffit pas de renforcer
la sécurité de l’infrastructure des AC, et ont souligné la nécessité de réduire la portée des attaques dans le modèle
PKIX.
Quelles solutions pour réduire la surface d’attaque ?
Comme mentionné précédemment, le problème n’est pas la sécurité de la technologie PKIX. Mais avec une liste
aussi longue d’autorités de certification acceptées par les navigateurs par défaut, il existe une plus forte probabilité de compromission lors de l’établissement d’une connexion TLS avec PKIX, que lors de la résolution d’adresses
IP avec le DNS. Comme indiqué précédemment, avec le modèle PKIX actuel, un titulaire de nom de domaine n’a
pas la possibilité d’indiquer au navigateur que toute connexion d’un utilisateur à son domaine doit être validée par
un certificat délivré par une AC particulière.
Différentes techniques ont été proposées pour réduire la probabilité d’attaque au sein du modèle PKIX, telles que
Trust on First Use (ToFU), Perspectives3, Certificate Transparency4 (CT), Certificate Authentication and Authorization (CAA)5 et DANE.
Parmi les différentes technologies proposées pour limiter la surface d’attaque, ToFU est la plus facile à mettre
en œuvre car il suffit d’installer un module de navigateur compatible ToFU. Perspectives et CT reposent sur un
système de service de notarisation qui ne coexiste pas totalement avec le modèle PKIX actuel et nécessite des
services supplémentaires agissant comme services de notarisation. CAA est comme une «bidouille» ne nécessitant aucune modification et qui semble à court terme une bonne solution pour réduire la surface d’attaque. Mais
si l’on considère la sécurité de façon plus globale et la fourniture d’options supplémentaire aux utilisateurs (telles
que des certificats auto-signés), DANE arrive en tête.
3
http://perspectives-project.org/
4
http://www.certificate-transparency.org/
5
http://tools.ietf.org/html/rfc6844
6
Association Française pour le Nommage Internet en Coopération | www.afnic.fr | contact@afnic.fr | Twitter : @AFNIC | Facebook : afnic.fr
7. Dossier thématique n°12
2
Une solution permettant de déployer un dispositif de sécurité bout-en-bout :
DANE
DANE - Augmenter la sécurité dans PKIX
Cette section explique de façon plus détaillée comment DANE réduit la portée d’une attaque dans l’écosystème
PKIX, en s’appuyant sur une infrastructure DNS sécurisée grâce à DNSSEC6. Avec le protocole DANE, un titulaire
de nom de domaine signe le certificat fourni par le serveur Web en fonction de différentes options (expliquées
ci-dessous) et le publie dans la zone DNS du domaine (signée avec DNSSEC), offrant ainsi au titulaire du nom de
domaine la possibilité d’informer l’application (p. ex. le navigateur) sur les moyens de valider le certificat provenant du serveur Web. Par exemple, si l’AC du domaine www.example.com est «X», avec le mécanisme DANE, le
navigateur n’acceptera qu’un certificat de l’AC «X» pour authentifier le serveur, ce qui réduit ainsi la probabilité
d’une attaque.
DANE a été conçu et normalisé par l’IETF. L’IETF a publié deux RFC concernant DANE :
1. RFC 6394 – Cas d’utilisation DANE
2. RFC 6698 - Protocole DANE.
Le RFC 6698 met l’accent sur la normalisation et l’utilisation de l’enregistrement de ressource TLSA. Cet enregistrement a pour rôle essentiel d’être publié dans une zone DNS et de fournir des informations de certificat correspondant à un service spécifique sur un port spécifique d’un nom dans cette zone.
Usage
N° de port
Méthode de
correspondance
Certificat d’association
443._tcp.dane.rd.nic.fr. IN TLSA 3 0 1 c68ebcc998fda83222cabf2c0228ecc413566e709e5dc5cf25396a8bf4342dd3
Protocole
utilisé
Sélecteur
Fig. 3 : Explication des enregistrements DNS : TLSA
Comme le montre la Figure 3, l’enregistrement de ressource TLSA se compose de quatre champs : «utilisation
du certificat», «sélecteur», «méthode de correspondance» et «certificat d’association». L’application doit établir
la correspondance entre le «champ de données certificat d’association» de l’enregistrement de ressource (RR)
TLSA et le certificat cible (c.-à-d. le certificat fourni par le serveur web du nom de domaine) sur la base des autres
valeurs (utilisation du certificat, sélecteur et méthode de correspondance) figurant dans l’enregistrement de ressource TLSA.
Le champ «Utilisation du certificat» est brièvement résumé ici. Pour de plus amples informations sur les autres
paramètres du RR TLSA, veuillez vous référer au RFC 6698
Utilisation du certificat 0/1: si le champ «utilisation du certificat» dans le RR TLSA a pour valeur ‘0 ‘ou ‘1 ‘, l’application doit valider le certificat cible utilisant l’infrastructure PKIX, c.-à-d. valider le certificat cible en utilisant l’écosystème des AC.
• 0’ - Lors de la validation, le navigateur doit utiliser uniquement l’AC spécifiée dans le champ «Certificat
‘
d’association» du RR TLSA pour valider le certificat cible.
• 1’ - Le navigateur doit valider le certificat cible uniquement avec le certificat mentionné dans le champ
‘
«Certificat d’association» du RR TLSA.
Il y a deux autres valeurs (‘2’ et ‘3’) dans le champ «Utilisation du certificat», qui seront expliquées plus loin.
6
Voir description de ce mécanisme plus loin
7
Association Française pour le Nommage Internet en Coopération | www.afnic.fr | contact@afnic.fr | Twitter : @AFNIC | Facebook : afnic.fr
8. Dossier thématique n°12
Pourquoi DNSSEC est-il vital pour DANE ?
Les valeurs ‘0’ et ‘1’ du champ «utilisation du certificat» indiquent comment la surface d’attaque peut être réduite
au sein de l’écosystème PKIX en validant le certificat cible fourni par le serveur. Supposons que l’attaquant ait
lancé une attaque de type «Man in the middle» lors de la résolution DNS («première opération» de la figure 3) et
fourni une adresse IP frauduleuse pour le domaine demandé, le navigateur utilisera l’adresse IP obtenue pour
accéder au serveur. Si l’attaquant crée un certificat numérique pour le faux serveur à partir d’une AC autorisée,
l’attaquant peut convaincre le navigateur qu’un serveur choisi par l’attaquant lui-même représente légitimement
le service de la victime.
DNSSEC7 permet à un utilisateur de vérifier, sur la base d’une chaîne de confiance cryptographique, que les
informations résultant d’une requête de résolution DNS proviennent de la zone DNS légitime correspondant au
nom de domaine demandé. En d’autres termes, lorsqu’elles sont utilisées de bout-en-bout dans le processus de
résolution DNS, les extensions DNSSEC empêchent que les données ne soient altérées lorsqu’elles redescendent
jusqu’à l’utilisateur demandeur. Par conséquent, pour que DANE augmente la sécurité au sein du modèle PKIX
existant, les informations obtenues lors de la résolution DNS doivent être validées avec DNSSEC. C’est pourquoi
le RFC 6698 (protocole DANE) stipule que la zone DNS qui a un RR TLSA doit être signée par DNSSEC et que les
applications qui interrogent le domaine pour validation du RR TLSA doivent utiliser un résolveur DNSSEC. Pour
simplifier, DANE n’est efficace que s’il repose sur une infrastructure DNSSEC.
Ainsi DANE combiné à DNSSEC offre une sécurité de bout-en-bout aux deux étapes d’une communication Internet (comme le montre la Figure 4) : tout d’abord lors de la résolution DNS préliminaire, puis lors de la connexion
établie avec le serveur du domaine.
Fig. 4 : Possibilités de compromission d’une
communication sécurisée considérablement
réduites grâce à DANE & DNSSEC
Avec DNSSEC, falsification et modification
de données seront
détectées
Avec TLS, la communication de données entre
le navigateur et le
serveur Web est chiffrée
Une attaque n’est
possible qu’en modifiant
l’information contenue
dans la zone DNS du
domaine,
ET en compromettant le
parent du domaine,
ET en compromettant
l’AC spécifique du
domaine et en générant
un faux certificat
1
Adresse IP et
enregistrement
TLSA du domaine
demandés avec
DNSSEC
1
IP adress of the
domain requested
3
Le navigateur utilise les
informations provenant du
RR TLSA pour valider le
certificat cible
7
2
Obtient le certificat Web pour
commencer la communication sécurisée
http://tools.ietf.org/html/rfc6698/
8
Association Française pour le Nommage Internet en Coopération | www.afnic.fr | contact@afnic.fr | Twitter : @AFNIC | Facebook : afnic.fr
9. Dossier thématique n°12
DANE - Utilisation de DNSSEC comme PKI alternative
Jusqu’à présent, l’attention était portée sur une infrastructure à clés publiques (PKI) reposant sur des certificats
numériques, à savoir le modèle PKIX. Le DNS complété par les extensions DNSSEC devient de facto une PKI.
Comme dans le cas du modèle PKIX, où la clé de l’AC est l’ancre de confiance, dans le cas du PKI DNSSEC,
l’ancre de confiance est la clé de la racine du DNS.
Les valeurs ‘2’ et ‘3’ du champ «utilisation du certificat» indiquent comment une sécurité de la navigation sur le
Web peut être instaurée de bout-en-bout sans que l’écosystème des AC entre en jeu. Autrement dit, un titulaire
de domaine crée un certificat auto-signé et peut toutefois être authentifié par les éditeurs de navigateurs :
• ‘2’ en cas d’utilisation indique qu’une organisation a prévu de créer sa propre AC et que tous les départements
de cette organisation créent leurs propres certificats avec l’AC créée comme ancre de confiance de leurs
sites Web respectifs. Lors de la validation, normalement le navigateur ne reconnaîtra pas le site Web des
départements de l’organisation, car l’AC de l’organisation ne figure pas dans sa liste des AC de confiance.
Mais, en recevant le RR TLSA dans la réponse après validation DNSSEC, il est certain que les données de
l’enregistrement TLSA ne sont pas contrefaites, sauf si quelqu’un a accès à la zone DNS du domaine. Pour
valider le certificat, le navigateur doit s’assurer que l’AC du certificat cible est la même que celle indiquée dans
le champ «Certificat d’association» du RR TLSA.
• ‘3’ en un cas d’utilisation indique que l’administrateur de domaine délivre le certificat auto-signé qui est stocké
comme certificat cible sur le serveur web, et qu’une empreinte du certificat est ajoutée dans la zone DNS du
domaine dans le champ «certificat d’association» du RR TLSA. Pour valider le certificat, le navigateur doit
s’assurer que le certificat cible correspond au champ «Certificat d’association» du RR TLSA.
Ainsi, la technologie DANE renforce non seulement la sécurité de la navigation Web sur le dernier kilomètre en
utilisant le modèle PKIX existant, mais fournit également une solution alternative consistant à n’utiliser qu’un DNS
renforcé par DNSSSEC et donc à contourner complètement le mécanisme de fourniture et de gestion des certificats X.509 via PKIX.
Mettre en œuvre DANE
La première étape vers la mise en œuvre DANE pour un nom de domaine est de créer un enregistrement TLSA
pour le domaine, par l’administrateur du domaine. Il existe plusieurs outils disponibles pour générer un enregistrement TLSA. L’un d’eux est ‘SWEDE8’. L’enregistrement TLSA généré est publié dans la zone DNS par l’administrateur du domaine, et la zone a été signée avec DNSSEC.
Au cours de résolution DNS, l’enregistrement TLSA devrait également être interrogé comme indiqué dans la
Figure 4. Si le champ «utilisation de certificat» dans l’enregistrement TLSA a des valeurs ‘0’ ou ‘1 ‘, l’application
doit valider le certificat cible en utilisant l’infrastructure PKIX (voir III.1). Si le champ «utilisation de certificat» dans
l’enregistrement TLSA a des valeurs ‘2 ‘ou ‘3’, alors la validation est faite en utilisant l’infrastructure DNS renforcé
par DNSSEC (voir III.3).
8
https://github.com/pieterlexis/swede
9
Association Française pour le Nommage Internet en Coopération | www.afnic.fr | contact@afnic.fr | Twitter : @AFNIC | Facebook : afnic.fr
10. Dossier thématique n°12
3
En conclusion : DANE ou la pièce jusqu’à présent manquante au dispositif
de sécurisation de bout-en-bout de l’Internet ?
DANE n’est pas réservé qu’à la navigation sur le Web
DANE a été conçu pour résoudre les problèmes relatifs à la navigation sur le Web. Des efforts ont été déployés
à l’IETF au sein du groupe de travail DANE9 pour en étendre l’utilisation à la sécurisation d’autres applications
comme la messagerie électronique (s/MIME), la messagerie instantanée (XMPP), etc. Tous ces travaux se poursuivent et s’ils sont adoptés par l’IETF et publiés en tant que RFC, des implémentations suivront. DNSSEC est une
infrastructure indispensable commune pour toutes ces implémentations.
Rôle de DANE dans l’accélération du déploiement de DNSSEC
Comme expliqué au début du présent document, une communication Internet type implique l’écosystème DNS
pour résoudre l’adresse d’un nom de domaine particulier. DNSSEC permet de s’assurer que les données obtenues par résolution DNS proviennent de la zone légitime du nom de domaine (authentification de l’origine des
données) et que les données ne sont pas altérées lors du transfert (intégrité des données). Ces extensions de
sécurité font de DNSSEC une composante essentielle des communications Internet nécessitant un haut niveau
de confiance dans l’infrastructure DNS.
Comme la plupart des technologies importantes (telles que IPv6), DNSSEC illustre le paradoxe de l’œuf et de la
poule. De nombreux fournisseurs de services et d’infrastructure réseau adoptent une position attentiste à l’égard
de DNSSEC. Les raisons invoquées sont variables et vont de la complexité de mise en œuvre de DNSSEC aux
pannes injustifiées et incitations commerciales. Beaucoup d’entre eux sont prêts à attendre un scénario qui les
obligera à déployer DNSSEC dans leur infrastructure réseau.
L’adoption lente de DNSSEC a souvent été attribuée à l’absence d’application phare utilisant DNSSEC comme
base de la sécurité. Le potentiel commercial généré par une telle application peut induire une pression des
consommateurs pour l’adoption de DNSSEC. Même si les applications construites autour de DNSSEC et du
protocole DANE peuvent ne pas être des applications phares pour DNSSEC, leur mise en œuvre de manière
transparente assurera la sécurité de millions d’utilisateurs utilisant Internet pour des communications sécurisées.
L’utilisation même de ces applications par des millions d’utilisateurs exigeant une infrastructure réseau sécurisée
par DNSSEC forcera les parties prenantes à déployer DNSSEC. Ainsi, DANE pourrait être un catalyseur accélérant
l’adoption de DNSSEC
Retrouvez tous les dossiers thématiques de l’Afnic :
http://www.afnic.fr/fr/ressources/publications/dossiers-thematiques-7.html
9
https://datatracker.ietf.org/wg/dane/charter/
10
Association Française pour le Nommage Internet en Coopération | www.afnic.fr | contact@afnic.fr | Twitter : @AFNIC | Facebook : afnic.fr