La zone .dz : l’espace de noms numérique de l’Algérie

Chaque site web se terminant par .dz — des portails gouvernementaux comme mfdgi.gov.dz aux sites commerciaux comme mobilis.dz — dépend d’une chaîne de serveurs DNS qui traduit les adresses lisibles par l’homme en adresses IP. Au sommet de cette chaîne pour l’Algérie se trouve CERIST (Centre de Recherche sur l’Information Scientifique et Technique), qui gère le domaine de premier niveau de code pays (ccTLD) .dz depuis sa délégation par l’IANA le 3 janvier 1994. CERIST opère les serveurs de noms autoritatifs pour la zone .dz via sa subdivision NIC.dz, contrôle la base de données du registre et définit les politiques d’enregistrement des domaines .dz.

L’espace de noms .dz est structuré en dix domaines de second niveau : .com.dz (commercial), .gov.dz (gouvernement), .org.dz (organisations), .edu.dz (éducation), .net.dz (opérateurs réseau), .asso.dz (associations), .pol.dz (partis politiques), .art.dz (professions artistiques), .tm.dz (détenteurs de marques à l’étranger) et .soc.dz (marques individuelles). En décembre 2024, le nombre total de domaines .dz enregistrés s’élevait à 17 989 — remarquablement faible par rapport au .ma du Maroc (plus de 118 000 enregistrements mi-2024) ou au .tn de la Tunisie (plus de 66 500 en septembre 2025). Cette faible adoption reflète à la fois des politiques d’enregistrement restrictives (exigeant une documentation du registre du commerce algérien) et la préférence de nombreuses entreprises algériennes pour les domaines .com via des registrars internationaux.

Mais les implications sécuritaires de la zone .dz dépassent largement les chiffres d’enregistrement. L’infrastructure DNS sous-jacente à chaque domaine .dz est une ressource nationale critique. Si elle est compromise, des attaquants pourraient rediriger les utilisateurs des services gouvernementaux, des portails bancaires ou des plateformes télécoms algériennes vers des serveurs malveillants.

Adoption de DNSSEC : le problème du quasi-zéro

DNSSEC (Domain Name System Security Extensions) est la défense principale contre les attaques d’usurpation DNS et d’empoisonnement de cache. Il fonctionne en signant cryptographiquement les enregistrements DNS, permettant aux serveurs résolveurs de vérifier que la réponse DNS reçue provient effectivement du serveur autoritatif et n’a pas été falsifiée en transit.

CERIST a signé la zone .dz avec DNSSEC vers 2022, publiant les enregistrements DS dans la zone racine et établissant une chaîne de confiance cryptographique. C’était une étape importante — mais signer la zone n’est que le premier maillon de la chaîne. Selon les données Pulse de l’Internet Society pour l’Algérie, moins de 1 % des domaines .dz individuels sont protégés par DNSSEC, en dessous même de la moyenne africaine de 2 %. De manière tout aussi préoccupante, seulement environ 29 % des requêtes DNS depuis les réseaux algériens bénéficient de la validation DNSSEC, bien en dessous de la moyenne africaine de 48 %.

L’Algérie a été une retardataire en matière de DNSSEC. La Tunisie (.tn) a été l’un des premiers adoptants en Afrique avec sa signature DNSSEC en septembre 2014. Le Maroc (.ma) a suivi en février 2016. Au niveau mondial, plus de 90 % des ccTLD sont désormais signés avec DNSSEC. La signature au niveau zone par l’Algérie a comblé une lacune majeure, mais l’adoption quasi nulle au niveau des domaines individuels et les faibles taux de validation parmi les résolveurs des FAI algériens signifient que les bénéfices sécuritaires restent largement théoriques.

Risques de détournement de domaines et infrastructure du registre

Le détournement de domaine — le transfert ou la modification non autorisée des enregistrements DNS d’un domaine — est une attaque à fort impact qui peut rediriger toute la présence web et email d’une organisation vers une infrastructure contrôlée par l’attaquant. La campagne Sea Turtle, attribuée à un groupe étatique et active depuis au moins janvier 2017, a détourné les enregistrements DNS d’organisations gouvernementales à travers le Moyen-Orient et l’Afrique du Nord en compromettant les registrars de domaines et les administrateurs DNS. Documentée pour la première fois par Cisco Talos en avril 2019, la campagne a compromis au moins 40 organisations dans 13 pays.

L’infrastructure de registre de CERIST fait tourner des serveurs DNS autoritatifs pour la zone .dz. Selon la base de données de zone racine de l’IANA, la zone .dz est actuellement desservie par six serveurs de noms : quatre opérés par CERIST, ns3.nic.fr (hébergé par AFNIC en France) et ns-dz.afrinic.net (hébergé par AFRINIC). Cela fournit une certaine distribution géographique au-delà de l’Algérie, bien que moins de diversité que des ccTLD comparables. Le Maroc (.ma) utilise huit serveurs de noms incluant des nœuds hébergés par INRIA en France, offrant une redondance et une résilience DDoS plus larges.

Le processus d’enregistrement de domaine .dz, bien que restrictif, ne semble pas imposer de mesures de sécurité côté titulaire telles que le registry lock. L’implémentation d’un service équivalent pour les domaines .gov.dz et .com.dz hébergeant des services critiques réduirait significativement le risque de détournement. CERIST devrait également envisager d’exiger l’authentification à deux facteurs pour tous les portails de gestion des titulaires.

Combler le fossé : recommandations pour la sécurité de la zone .dz

La zone .dz étant désormais signée DNSSEC, l’étape la plus impactante est de stimuler l’adoption DNSSEC au niveau des domaines individuels. CERIST devrait imposer la signature DNSSEC pour tous les domaines .gov.dz comme référence obligatoire, puis étendre l’exigence aux domaines .edu.dz et du secteur financier sous .com.dz. CERIST peut s’appuyer sur l’initiative de déploiement DNSSEC d’ICANN et les programmes de renforcement des capacités d’AFRINIC.

Tout aussi critique est l’amélioration de la validation DNSSEC côté résolveur. Les principaux FAI algériens — dont Algerie Telecom, Djezzy et Ooredoo — devraient activer la validation DNSSEC sur leurs résolveurs récursifs. L’ARPCE est bien positionnée pour imposer ou encourager la validation DNSSEC chez les opérateurs licenciés.

Deuxièmement, CERIST devrait diversifier davantage son infrastructure DNS autoritative en déployant des serveurs de noms secondaires supplémentaires sur des réseaux anycast. Le service DNS anycast de Packet Clearing House — qui fournit un DNS secondaire gratuit aux registres ccTLD des pays en développement et dessert actuellement plus de 110 nations — renforcerait la résilience DDoS et les performances de requête.

Troisièmement, au niveau politique, l’Algérie devrait établir un cadre de sécurité des domaines imposant le registry lock pour tous les domaines .gov.dz, le DNSSEC obligatoire pour les domaines gouvernementaux et du secteur financier, et des audits de sécurité réguliers de l’infrastructure du registre. Le double rôle de CERIST en tant que centre de recherche et opérateur du registre .dz est inhabituel internationalement. Un examen de gouvernance serait opportun.

🧭 Radar de Décision

Dimension	Évaluation
Pertinence pour l’Algérie	Critique — chaque site et service email .dz dépend d’une infrastructure DNS où l’adoption DNSSEC individuelle est quasi nulle
Calendrier d’action	6-12 mois — stimuler l’adoption DNSSEC et la validation des résolveurs FAI est réalisable avec le support international existant
Parties prenantes clés	CERIST, Ministère de la Poste et des Télécommunications, ARPCE, ICANN, AFRINIC, Algerie Telecom
Type de décision	Stratégique
Niveau de priorité	Critique

En bref : Bien que CERIST ait signé la zone .dz avec DNSSEC vers 2022, moins de 1 % des domaines .dz individuels sont protégés, et seulement 29 % des requêtes DNS algériennes bénéficient de la validation. CERIST devrait imposer le DNSSEC pour les domaines .gov.dz, pousser les FAI à activer la validation et implémenter le registry lock pour les domaines gouvernementaux critiques — le tout réalisable sous 12 mois.