Pourquoi dappy ?

Dappy est un système de nommage avec chiffrement direct. Le DNS et le système des autorités de certification imposent de nombreux intermédiaires, aussi bien pour la gestion des noms de domaines que des certificats. Ce système implique une limitation de la sécurité et confidentialité atteignable pour des services web publiques. On peut pour les labéliser comme systèmes indirectes (avec beaucoup d'intermédiaires).

Dappy permet la gestion directe des noms de domaines et des certificats TLS, éliminant ainsi des familles entières d'attaques, et permettant aux services web de tout type (portails B2B, SaaS etc.) d'atteindre des niveaux de confidentialité, stabilité et sécurité supérieurs en conservant une accessibilité simple.

Portail web B2B critique pour la logistique internationale

Dans de nombreux secteurs, la cybersécurité devient un sujet stratégique, les attaques sont de plus en plus élaborées et de nombreuses entreprises sont perturbées à des niveaux sans précédent. Parallèlement, la digitalisation, l'expérience utilisateur, ainsi que l'expansion et la multiplication des services numériques sont des objectifs pour de nombreuses entreprises, et même des conditions pour rester compétitif.

Le web public est la plateforme idéale pour déployer rapidement un portail web et permettre à des clients, fournisseurs ou partenaires B2B de lire ou de télécharger des données, d'effectuer des opérations commerciales ou de communiquer des informations clés.

Les SaaS, portails web et cyberattaques : quelques chiffres

Les applications Web accessibles au public (front facing web applications) sont désormais le vecteur d'attaque le plus utilisé pour pénétrer dans le périmètre d'une organisation. Les attaques qui débutent dans les web apps sont passées de 31,5 % en 2020 à 53,6 % en 2021 selon le rapport Kaspersky Incident Response Analytics Report, 2022.

Le Global DNS Threat Report par Efficient IP (2021) rapporte également que Le coût moyen d'une attaque DNS (temps d'arrêt et/ou dommages à la marque) est de 950 000 $.

De même, Le coût du phishing est passé de 3,8 millions de dollars en 2015 à 14,8 millions de dollars en 2021 selon l'institut Ponemon, The 2021 Cost of Phishing Study.

Ransomware, interception TLS (man-in-the-middle), phishing, attaques DNS via des registres ou des bureaux d'enregistrement. beaucoup de choses peuvent se produire, une entreprise doit en général prioriser les protections sur les plus grandes surfaces d'attaque, et laisser certaines zones moins protégées.

Pour comprendre comment des millions d'entreprises se sont retrouvées dans cette situation, il faut savoir que le web public n'a pas été conçu pour des portails web critiques ou des cas d'utilisation B2B de grande valeur, mais plutôt de manière très ouverte et permissive. Le web public est idéal pour les réseaux sociaux, les blogs le e-commerce de détail, mais un endroit dangereux pour de nombreuses autres applications. Tous les sites web n'ont pas les mêmes exigences en terme de criticité, ne traitent pas les mêmes niveaux de criticité et/ou ont différents impératifs de conformité selon leurs secteurs.

DNS, Autorités de Certification HTTPS et navigateurs

Le web fonctionne généralement avec le concept d'autorités de confiance uniques : Verisign sécurise les domaines .com, l'AFNIC sécurise les domaines .fr, au-dessus des registres des milliers de registrar existent, avec des centaines d'employés. Chaque segment du DNS constitue un vecteur d'attaque qui peut (et a dans le passé) condamner les opérations d'une entreprise, rendre un portail inaccessible ou même permettre une interception TLS. C'est encore pire du côté de HTTPS ou des autorités de certification ; sur Windows plus de 400 certificats racine sont installés. 400 organisations peuvent potentiellement mener des interceptions man-in-the-middle, sans que personne ne s'en aperçoive. En outre, le Chrome Store permet d'installer en un clic une ou plusieurs des 130 000+ extensions, qui peuvent chacune injecter du javascript dans n'importe quelle page.

Est-on sûrs qu'il s'agit de la bonne configuration, du bon terrain pour les portails web qui transportent des données critiques, où des millions d'euros d'opérations B2B ont lieu chaque jour ?

dappy

Bâtiment sécurisé par le protocole dappy

Dappy est un système de nommage avec chiffrement direct.C'est est un système de nommage (name system) public, une infrastructure HTTPS et un ensemble de navigateurs web conçus pour les entreprises, spécifiquement adaptés aux portails web critiques et aux opérations B2B. Il fournit une sécurité et confidentialité élevées à ses utilisateurs (internautes), et donc aux fournisseurs de services qui exposent leurs sites web sur dappy. Dappy est aussi facile à utiliser qu'un navigateur web ordinaire ou le DNS. Il propose une gestion des certificats et de la PKI facilitée, car il n'y a pas de renouvellement des certificats, le système de nommage (name system) stocke les certificats qui peuvent être auto-signés.

En passant à dappy ou au moins en choisissant un modèle de distribution hybride dappy+DNS, une entreprise donnée (que nous appellerons Entreprise A) fournit instantanément les avantages de sécurité de DNSSEC, DNS-over-HTTPS et d'une installation en dur de certificat TLS à tous ses clients et/ou partenaires (qui ont besoin d'un accès remote à un ou plusieurs portails web).

Comment ça marche ?

Un portal supply chain web critique sécurisé par la co-résolution

Dappy est un système de nommage séparé du DNS, avec un navigateur construit spécialement pour les applications web critiques. Le protocole rompt avec la notion d'autorité unique, il utilise les principes de la confiance distribuée, et impose que la confiance soit toujours accordée à un réseau de sociétés indépendantes sans point unique de défaillance ou de décision.

Étape 1, partage d'état / blockchain

Au cœur de dappy, il y a le réseau dappy, qui est un réseau de sociétés d'infrastructure situées dans différents pays, mais partageant leur état avec une technologie telle que la blockchain. Le système de noms est codé dans cette blockchain, l'entreprise A peut simplement acheter un domaine companya.d et ajouter librement des adresses IP et des certificats auto-signés à sa zone (rappelez-vous qu'il n'y a plus d'autorités de certification).

Étape 2, co-résolution

Maintenant que le système de nom a les bonnes données, et que l'entreprise A a exposé ses ressources web à travers le système de nom dappy, les clients, fournisseurs ou consommateurs doivent découvrir les sites web (service discovery), c'est l'opération la plus critique, les clients connaissant uniquement le nom de domaine.

Dans le contexte dappy, la découverte de services utilise une nouvelle méthode baptisée co-résolution, qui a pour but d'optimiser et de rendre inattaquable la récupération des adresses IP ou des certificats de cryptage TLS. Le navigateur demandera directement à plusieurs membres du réseau Dappy les adresses IP et les certificats TLS correspondant à une ressource donnée, il vérifiera ensuite l'homogénéité des réponses. Il faut qu'au moins 90%, voire 100% des réponses soient identiques, pour que le navigateur accepte de poursuivre la connection vers le serveur web final. La communication est parfaitement privée car aucune autorité n'est capable de fournir un certificat alternatif.

Ceci conclut le "Pourquoi" et le "Comment". N'hésitez pas à prendre contact avec nos équipes, nous sommes toujours disponibles pour échanger. Les problèmes compliqués ont parfois des solutions simples.