bortzmeyer

Le projet NSA d'un serveur DNS a été décrit dans un article de CyberScoop et résumé par NextInpact (voir aussi cet article). L'article original n'est pas très détaillé techniquement donc il y a forcément pas mal de spéculation dans les commentaires. Il s'agirait apparemment de créer un résolveur DNS souverain, menteur et (partiellement) public. Souverain car géré par un pays (les États-Unis) pour lui-même. (Un exemple de résolveur DNS souverain est le Bouclier Canadien fait par le registre du .ca, un autre exemple est un projet indien  qui n'avance pas.) Menteur car il est prévu qu'il altère les réponses DNS, par exemple pour gêner l'accès aux serveurs utilisés par le logiciel malveillant. (Et peut-être pour bloquer le porno aussi.) Partiellement public car il semble qu'il sera réservé aux entreprises étatsuniennes travaillant pour l'armée. (Un autre exemple de résolveur DNS pour l'État existe en Grande-Bretagne, le 25.25.25.25, géré par le registre du .uk.) Faire gérer ce résolveur par la NSA est amusant. C'est l'occasion de rappeler que les protocoles sécurisés comme DoH (DNS sur HTTPS) ou DoT (DNS sur TLS) ne protègent que contre un tiers, pas contre le gérant du serveur. (On n'a pas encore d'information fiable sur les protocoles qui seront disponibles sur ce service.)