Validation DNSSEC en 2022 : l'Afrique en tête avec une croissance étonnante
Les pays africains ont ouvert la voie à la croissance de la validation DNSSEC en 2022, la Namibie et le Lesotho validant désormais 85 % et 95 % de toutes les requêtes DNS, et le Maroc et la Guinée validant plus de 80 %.
Qu'est-ce que DNSSEC ?
DNSSEC (Domain Name System Security Extensions) est un protocole qui ajoute une couche supplémentaire de sécurité au système de noms de domaine (DNS) en signant numériquement les données DNS. Cela empêche les pirates d'intercepter et de modifier les données lorsqu'elles sont transmises, réduisant ainsi le risque d'attaques telles que l'empoisonnement du cache DNS.
Le DNSSEC comporte deux aspects : la signature et la validation. D'une part, les opérateurs DNS signent les noms de domaine de manière cryptographique. D'autre part, lorsque vous effectuez des opérations en ligne qui utilisent des noms de domaine, le résolveur DNS que vous utilisez, souvent chez votre fournisseur d'accès à l'internet (FAI), effectue une validation DNSSEC pour vérifier si les signatures DNSSEC sont correctes.
Pour que le DNSSEC fournisse sa couche supplémentaire de sécurité au niveau mondial, il faut que les noms de domaine soient signés et que les résolveurs DNS locaux vérifient la présence de ces signatures DNSSEC.
Dans le cadre de cet article, je me concentrerai uniquement sur la validation. Si vous consultez notre page Pulse sur les technologies habilitantes, vous pouvez voir vers le bas de la page un graphique (Figure 1) qui montre les mesures de signature et de validation dans le même graphique.
Je souhaite approfondir la ligne verte du bas qui représente la validation et montre qu'environ 30 % de toutes les requêtes sont actuellement validées. Pour ce faire, je vais me plonger dans les données de validation DNSSEC fournies par APNIC Labs, l'un de nos partenaires pour les données Pulse.
Si l'on examine le graphique de la validation DNSSEC au niveau mondial (figure 2), on constate que les niveaux de validation actuels sont de l'ordre de 30 %.
Si vous faites défiler la page, vous pouvez voir la validation dans les régions du monde (cliquez sur l'en-tête d'une colonne pour la trier). En cliquant sur ces régions, vous pouvez vous plonger dans l'analyse de la validation dans un pays spécifique et dans des réseaux spécifiques.
| Region | DNSSEC Validates | Samples | Weight | Weighted Samples |
| World | 32.29% | 10,777,148 | 1 | 10,777,148 |
| Oceania | 42.74% | 92,697 | 0.86 | 79,836 |
| Europe | 40.85% | 2,128,018 | 0.73 | 1,562,147 |
| Americas | 32.83% | 2,472,544 | 0.78 | 1,925,800 |
| Africa | 30.86 | 605,439 | 1.82 | 1,104,722 |
| Asia | 30.05% | 5,478,444 | 0.06 | 6,104,402 |
| Unclassified | 0.15% | 4,028 | 0.06 | 233 |
Qu'est-ce qui explique la croissance étonnante de l'Afrique ?
De toutes les régions, c'est en Afrique que l'on observe la plus forte croissance de la validation DNSSEC, qui passe de 17 % au début de 2022 à 31 % au début de 2023 (figure 3).
APNIC Labs fournit une carte qui montre très joliment en vert vif les endroits où le pourcentage de validation est le plus élevé.
En examinant certains graphiques spécifiques, vous pouvez voir en Guinée un bond énorme de la validation d'environ 5 à 7 % au début de 2022 à plus de 70 % au début de 2023.
En examinant les opérateurs individuels, vous pouvez voir que plusieurs d'entre eux ont activé la validation DNSSEC depuis au moins 2021, mais le grand changement a eu lieu lorsque Orange (ASAS37461) a commencé à valider en septembre 2022 (figure 6).
Le Maroc fournit une autre étude de cas intéressante sur ce qui se passe lorsque les grands FAI activent la validation DNSSEC. Comme vous pouvez le voir dans le graphique d'ensemble du Maroc (figure 7), il y a eu un énorme bond au début de 2021, d'environ 5 % de validation à environ 60 %. Puis, au milieu de l'année 2022, il y a eu un autre grand pas en avant, avec une validation d'environ 80 %.
Si l'on examine les réseaux spécifiques, on constate que Maroc Telecom (ASAS36903) a commencé à procéder à la validation au début de l'année 2021, ce qui correspond à la première grande étape du graphique (figure 8).
La deuxième étape a été franchie lorsque ASMedi (AS36925) a activé la validation DNSSEC au milieu de l'année 2022 (figure 9).
Notez l'aspect intéressant : les données d'APNIC Labs montrent que l'ASMedi avait précédemment validé les DNSSEC en 2014-2016, puis, pour une raison quelconque, a cessé de les valider pendant six ans jusqu'à ce qu'ils les réactivent en 2022 !
Le Lesotho a également connu une croissance progressive similaire pour terminer l'année avec plus de 95 % de validation, Telecom-Lesotho validant plus de 90 % depuis 2021, et Vodacom-Lesotho se joignant à eux à la fin de l'année 2022.
De nombreux autres pays africains ont également connu une excellente croissance, notamment le Cameroun, la Namibie, le Nigeria, le Tchad et Madagascar.
Dans mon prochain billet, je mettrai en évidence les changements mixtes que nous avons observés dans la validation DNSSEC au cours de l'année écoulée en Amérique du Nord et du Sud.
Photo par Abdur Ahmanus sur Unsplash