Le projet souverain DNS4EU se concrétise... avec du Scaleway dedans

Ni membre, ni associé, mais impliqué en tant que fournisseur, pour l'hébergement du back-end : telle est la contribution de Scaleway à DNS4EU.

Ce projet est soutenu par l'Union européenne à hauteur d'environ 3 M€. Il a officiellement démarré le 1^er janvier 2023 et doit se terminer le 31 décembre 2025 (objectif d'autofinancement au-delà)*.

DNS4EU répond à un objectif établi dans la stratégie cyber de l'UE pour la décennie numérique et inscrit dans la directive NIS2 : "la mise au point et l'utilisation d'un service européen public et sécurisé de résolution de noms de domaine".

Le service en question devrait ouvrir au public cette semaine. Les résolveurs fonctionneront sur une infra dédiée, fournie par l'hébergeur britannique Datapacket et distribuée à travers 14 pays (France, Allemagne, Bulgarie, Croatie, Espagne, Grèce, Hongrie, Irlande, Italie, Pays-Bas, Pologne, République tchèque, Roumanie, Suède).

Au-delà des promesses de performance de cette infra pour les citoyens européens, DNS4EU avance des garanties de conformité : les données ne sortent pas de l'UE.

DNS4EU

L'anonymisation des adresses IP implique une opération modulo fondée sur la quantité de trafic traitée au cours des 24 heures précédentes. Les clés HMAC sont régénérées quotidiennement.

Le blocage publicitaire s'appuie sur "diverses listes dont goodbyeads et ads-tracking". La protection des mineurs se fonde sur une dizaine de flux publics (on nous mentionne Bon-Apetit) et sur le moteur de détection Webshrinker.

Un socle open source également utilisé par Cloudflare

Le socle de DNS4EU s'appelle Knot Resolver. Ce résolveur DNS open source (GPLv3) est développé depuis une dizaine d'années par l'ANSSI tchèque. Écrit en C et LuaJIT, il est aussi à la base du 1.1.1.1 de Cloudflare.

Le projet n'utilise pas directement Knot Resolver : il exploite son implémentation par Whalebone. Ce fournisseur tchèque de solutions cyber est d'ailleurs le coordinateur de DNS4EU, qui réunit 8 autres membres :

• CZ.NIC, association tchèque de fournisseurs de services Internet, opératrice du registre du .cz
• L'université technique tchèque de Prague
• Le SZTAKI, institut d'informatique public hongrois
• Le NASK, organisation polonaise de recherche-développement et opérateur du registre du .pl
• Timelex, cabinet d'avocats belge spécialisé dans le numérique
• ABI Lab, laboratoire italien pour l'innovation bancaire rattaché au CERTFin (CERT sectoriel)
• deSEC, ONG allemand qui promeut la sécurité sur Internet
• L'ANSSI roumaine

S'y ajoutent trois membres associés : l'ANSSI portugaise, l'éditeur F-Secure (Finlande) et le CESNET, réseau académique de recherche tchèque.

Le déploiement "grand public" de DNS4EU a un débit plafonné à 1000 requêtes/seconde pour chaque IP. Avec, a fortiori, les protections DoS incluses, il ne se destine pas à une gestion du trafic à grande échelle. Dans ce contexte, les entreprises sont redirigées vers l'offre commerciale de Whalebone.
Le secteur public est également invité à prendre contact avec l'éditeur tchèque, même s'il existe une connexion officielle avec le projet, traduite par la marque DNS4GOV. Celle-ci s'inscrit dans la lignée des initiatives de DNS nationaux mises en oeuvre en Australie, au Canada et au Royaume-Uni. Elle donne le choix entre des déploiements en cloud ou sur site. Le même choix est proposé aux telcos, perçus à la fois en relais commerciaux et en clientèle potentielle, face à la concurrence sur leurs services DNS.

DNS4EU comme vecteur de threat intelligence

La diffusion de DNS4EU doit aussi favoriser la collecte et le partage d'informations sur les menaces. Les CERT hongrois, italien, luxembourgeois, polonais, roumain et tchèque sont d'ailleurs dans la boucle. La connexion technique entre les participants repose sur une instance d'un autre logiciel open source : MISP (Malware Information Sharing Platform).

Whalebone coordonne les activités sur ce back-end ; celui-là même que Scaleway héberge, sur environnement Kubernetes. Le NASK travaille sur des modèles d'apprentissage automatique pour la détection des domaines nouvellement enregistrés. L'université technique de Prague étudie quant à elle, à travers son labo Stratosphere, des modèles ciblant les malwares et le trafic C2 (commande & contrôle). Du côté de CZ.NIC, on entend notamment améliorer la prise en charge d'Express Data Path.

* DNS4EU fait partie d'une salve d'appels à projets lancés en 2022 dans le domaine des infrastructures numériques souveraines. L'un d'entre eux, à titre d'exemple, concerne l'interconnexion des dorsales réseau pour la fédération cloud.

Illustration principale © Julien Eichinger - Fotolia