Les pays africains ont ouvert la voie à la croissance de la validation DNSSEC en 2022, la Namibie et le Lesotho validant désormais 85 % et 95 % de toutes les requêtes DNS, et le Maroc et la Guinée validant plus de 80 %.
Qu’est-ce que DNSSEC ?
DNSSEC (Domain Name System Security Extensions) est un protocole qui ajoute une couche supplémentaire de sécurité au système de noms de domaine (DNS) en signant numériquement les données DNS. Cela empêche les pirates d’intercepter et de modifier les données lors de leur transmission, réduisant ainsi le risque d’attaques telles que l’empoisonnement du cache DNS.
Le DNSSEC comporte deux aspects : la signature et la validation. D’une part, les opérateurs DNS signent les noms de domaine de manière cryptographique. D’autre part, lorsque vous effectuez des opérations en ligne qui utilisent des noms de domaine, le résolveur DNS que vous utilisez, souvent chez votre fournisseur d’accès à Internet (FAI), effectue une validation DNSSEC pour vérifier si les signatures DNSSEC sont correctes.
Pour que le DNSSEC fournisse sa couche supplémentaire de sécurité au niveau mondial, il faut que les noms de domaine soient signés et que les résolveurs DNS locaux vérifient la présence de ces signatures DNSSEC.
Pour ce billet, je vais me concentrer uniquement sur la validation. Si vous consultez notre page Pulse sur les technologies habilitantes, vous pouvez voir vers le bas de la page un graphique (Figure 1) qui montre les mesures de signature et de validation dans le même graphique.
Je voudrais m’attarder sur la ligne verte du bas qui représente la validation et qui montre qu’environ 30 % de toutes les requêtes sont actuellement validées. Pour ce faire, je vais me plonger dans les données de validation DNSSEC fournies par APNIC Labs, l’un de nos partenaires pour les données Pulse.
Si l’on examine le graphique de la validation DNSSEC au niveau mondial (figure 2), on constate que les niveaux de validation actuels sont de l’ordre de 30 %.
Si vous faites défiler la page, vous pouvez voir la validation dans les régions du monde entier (cliquez sur l’en-tête d’une colonne pour la trier). En cliquant sur ces régions, vous pouvez vous plonger dans le détail de la validation dans un pays spécifique et dans des réseaux spécifiques.
| Région | DNSSEC valide | Échantillons | Poids | Échantillons pondérés |
| Le monde | 32.29% | 10,777,148 | 1 | 10,777,148 |
| Océanie | 42.74% | 92,697 | 0.86 | 79,836 |
| L’Europe | 40.85% | 2,128,018 | 0.73 | 1,562,147 |
| Amériques | 32.83% | 2,472,544 | 0.78 | 1,925,800 |
| Afrique | 30.86 | 605,439 | 1.82 | 1,104,722 |
| Asie | 30.05% | 5,478,444 | 0.06 | 6,104,402 |
| Non classé | 0.15% | 4,028 | 0.06 | 233 |
Qu’est-ce qui explique la croissance étonnante de l’Afrique ?
De toutes les régions, c’est en Afrique que l’on observe la plus forte croissance de la validation DNSSEC, qui passe d’un minimum de 17 % au début de 2022 à 31 % au début de 2023 (figure 3).
APNIC Labs fournit une carte qui montre très joliment en vert vif les endroits où le pourcentage de validation est le plus élevé.
Si l’on examine certains graphiques spécifiques, on constate qu’en Guinée, le taux de validation est passé d’environ 5 à 7 % au début de 2022 à plus de 70 % au début de 2023.
Si l’on examine les opérateurs individuels, on constate que plusieurs d’entre eux ont activé la validation DNSSEC depuis au moins 2021, mais que le grand changement est intervenu lorsque Orange (ASAS37461) a commencé à valider en septembre 2022 (figure 6).
Le Maroc fournit une autre étude de cas intéressante sur ce qui se passe lorsque de grands FAI activent la validation DNSSEC. Comme vous pouvez le voir dans le graphique global du Maroc (figure 7), il y a eu un énorme bond au début de 2021, passant d’une validation d’environ 5 % à environ 60 %. Puis, au milieu de l’année 2022, une nouvelle étape importante a été franchie, avec une validation de l’ordre de 80 %.
Si l’on examine les réseaux spécifiques, on constate que Maroc Telecom (ASAS36903) a commencé à procéder à la validation au début de l’année 2021, ce qui correspond à la première grande étape du graphique (figure 8).
La deuxième étape a été franchie lorsque ASMedi (AS36925) a activé la validation DNSSEC au milieu de l’année 2022 (figure 9).
Il est intéressant de noter que les données d’APNIC Labs montrent que l’ASMedi validait déjà les DNSSEC en 2014-2016, puis, pour une raison quelconque, a cessé de les valider pendant six ans, jusqu’à ce qu’ils les réactivent en 2022 !
Le Lesotho a également connu une croissance progressive similaire pour terminer l’année avec plus de 95 % de validation, Telecom-Lesotho validant plus de 90 % depuis 2021, et Vodacom-Lesotho se joignant à eux à la fin de l’année 2022.
De nombreux autres pays africains ont également connu une excellente croissance, notamment le Cameroun, la Namibie, le Nigeria, le Tchad et Madagascar.
Dans mon prochain billet, je mettrai en évidence les changements mixtes que nous avons observés dans la validation DNSSEC au cours de l’année écoulée en Amérique du Nord et du Sud.
Photo par Abdur Ahmanus sur Unsplash