Your IP address is 54.80.63.78

Filters

Base de données – Protection de données dans la base de données d’AfriNIC

 

Ce document fournit les recommandations sur l’utilisation des diverses méthodes à la disposition des utilisateurs de la base de données d’AfriNIC pour empêcher la suppression ou la modification de leurs données sans autorisation (et dans certains cas, également contre la création non autorisée de données).

 

Obtention de votre objet maintainer

 

Un objet mntner est nécessaire pour protéger les données des utilisateurs dans la base de données d’AfriNIC. Comme tous les autres objets, la création de celui-ci requiert l’envoi d’un courriel à This e-mail address is being protected from spambots. You need JavaScript enabled to view it .

 

Lorsque vous utilisez un maintainer pour protéger vos données, vous devez choisir au moins une des méthodes d’authentification disponibles. Celles-ci sont définies dans les attributs « auth: » de l’objet mntner. Vous pouvez utiliser n’importe quelle combinaison des différentes méthodes et utiliser chacun d’eux autant de fois que vous le souhaitez dans un objet mntner. Il faut savoir toutefois que l’authentification est un « OR » logique de toutes les utilisations fournies des valeurs d’attribut « auth: ». L’autorisation est réussie lorsque n’importe laquelle des valeurs d’attribut « auth: » correspond à n’importe lequel des identifiants de connexion fournis dans une mise à jour.

 

Quatre méthodes d’authentifications sont actuellement disponibles :

 

* CRYPT-PW :

 

Cette méthode utilise un argument qui consiste en un mot de passe avec un cryptage de type Unix style.

 

Lors de la recherche d’un objet mntner, l’utilisateur doit inclure un attribut « auth: » avec une valeur correspondant à un mot de passe avec un cryptage de type Unix et le mot-clé CRYPT-PW :

 

auth: CRYPT-PW

 

Lors de l’envoi, en utilisant cette méthode, d’une mise à jour par courriel pour créer, modifier ou supprimer un objet protégé par un maintainer, le message adressé au serveur de la base de données doit inclure une ligne contenant :

 

password:

 

Ce pseudo-attribut doit être inséré dans le corps du courriel. Dans le cas d’un message MIME multiparties, celui-ci doit également être inséré dans la même partie MIME que l’objet. Outre ces restrictions, il peut figurer n’importe où dans le message par rapport aux objets. Il suffit qu’il figure une fois dans le message, même si la mise à jour contient plusieurs objets protégés par le même maintainer.

 

Si lors du cryptage, ce mot de passe correspond à celui stocké dans l’objet mntner, la mise à jour sera effectuée. Sinon, celle-ci sera refusée.

 

Le lien ci-dessous vous permet d’accéder à un script CGI qui générera un mot de passe crypt-pw pour vous :

 

https://www.afrinic.net/tools/whois_crypt.htm

 

Note : Cette méthode peut faire l’objet de deux types d’attaques :

 

o Piratage de mots de passe. Ce type d’attaques est semblable à celles que peuvent subir des mots de passe informatiques ordinaires. Certains programmes peuvent être utilisés pour essayer de décoder le mot de passe soit en ayant recours à des dictionnaires ou en essayant toutes les combinaisons possibles.

 

o Logiciels espions. Etant donné que le message de mise à jour contient le mot de passe en texte clair, le risque existe que celui-ci pourra être lu en cas d’interception du message lors du transfert entre le système de l’utilisateur et le serveur de la base de données.

 

* MD5-PW :

 

Cette méthode utilise un argument qui consiste en un mot de passe crypté en MD5. Lors de la recherche d’un objet mntner, l’utilisateur doit inclure un attribut « auth: » avec une valeur correspondant à un mot de passe crypté en MD5 et le mot-clé MD5-PW :

 

auth: MD5-PW

 

La même procédure que celle décrite pour CRYPT-PW est appliquée lors de la création, modification ou suppression d’un objet protégé par un maintainer en utilisant cette méthode.

 

Le lien ci-dessous vous permet d’accéder à un script CGI qui générera un mot de passe MD5 pour vous :

 

https://www.afrinic.net/tools/whois_crypt.htm

 

Veuillez noter que cette méthode peut être soumise aux mêmes types d’attaques que celles mentionnées précédemment pour CRYPT-PW.

 

* PGPKEY :

 

Cette méthode de protection compte parmi les plus efficaces disponibles. L’utilisateur spécifie l’identifiant de la clé PGP qui pointe ver un objet key-cert dans la base de données qui stocke une clé publique PGP.

 

Lors de l’envoi de mises à jour à la base de données, l’utilisateur doit utiliser sa clé privée PGP pour signer le message.

 

Le logiciel de la base de données vérifiera la signature en utilisant la clé publique stockée dans l’objet key-cert référencé dans l’attribut « auth: » de l’objet mntner concerné. Si la signature cryptographique est valide, la mise à jour sera effectuée. Sinon, elle sera refusée.

 

Note : Ce type d’usage de PGP est considéré comme une utilisation à des fins commerciales par PGP Inc. Une licence d’utilisation commerciale de logicielle doit être acquise en cas d’utilisation d’un logiciel PGP. Sinon, les utilisateurs peuvent avoir recours à un logiciel GnuPG pour générer et gérer des clés qui sont compatible avec le logiciel PGP.

 

Note : AfriNIC n’offre aucune garantie concernant l’identité du propriétaire de la clé PGP utilisée. Nous vérifions uniquement que la signature dans le courriel a été générée en utilisant la clé privée correspondant à la clé publique stockée dans la base de données.

 

http://www.Afrinic.net/supporting/db/afsup-pgp200502.htm

 

* X.509 :

 

Cette méthode de protection compte également parmi les plus efficaces disponibles. L’utilisateur spécifie un certificat X.509 pointant vers un objet key-cert dans la base de données qui stocke une clé publique basée sur les certificats X.509.

 

Lors de l’envoi de mises à jour à la base de données, l’utilisateur doit utiliser sa clé privée basée sur les certificats X.509 pour signer le message. Le logiciel de la base de données vérifiera la signature en utilisant la clé publique stockée dans l’objet key-cert référencé dans l’attribut « auth: » de l’objet mntner concerné. Si la signature cryptographique est valide, la mise à jour sera effectuée. Sinon, elle sera refusée.

 

Note1 : AfriNIC n’offre aucune garantie concernant le chemin de confiance du certificat ou l’état de révocation du certificat. Nous vérifions uniquement que la signature dans le courriel a été générée en utilisant la clé privée correspondant à la clé publique stockée dans la base de données.

 

Note2 : A ce stade, AfriNIC ne propose pas d’outil pour la génération de certificats. Si vous n’en avez pas déjà un, vous devez générer votre propre certificat autosigné.

 

Le lien ci-dessous vous permet d’accéder à de plus amples informations sur la mise en place de l’authentification X.509 :

 

http://www.Afrinic.net/supporting/db/afsup-x509200502.htm

 

Utilisation simultanée de multiples schémas d’authentification

 

Il suffit d’une seule correspondance avec un attribut « auth: » de l’objet mntner pour valider la mise à jour d’un objet.

 

Nous recommandons l’utilisation d’un seul type de méthode d’authentification dans un objet mntner. Celle-ci devrait être la plus efficace à la disposition de l’utilisateur.

 

La meilleure méthode de protection possible est l’authentification PGPKEY ou X.509. Si, pour une quelconque raison, un utilisateur n’est pas à l’aise avec uniquement PGPKEY ou X.509 et préfère garder une « porte de sortie », CRYPT-PW ou MD5-PW peut être utilisé comme ajout, en choisissant un bon mot de passe. Pour vos opérations quotidiennes, utilisez toujours une signature lors de mises à jour.

 

Informations supplémentaires

 

Pour une description complète sur l’interaction avec la base de données d’AfriNIC, incluant la protection de données, veuillez consulter les documents suivants :

 

* Manuel de référence de la base de données d’AfriNIC

* Toute la documentation de la base de données d’AfriNIC

Un modèle vide peut être obtenu en utilisant un client whois pointé vers whois.afrinic.net comme suit :

 

http://www.afrinic.net/docs/db/afsup-obj200502.htm#29