L'Icann révoquera cette semaine la clé de sécurité DNS KSK-2010
L'Icann achèvera cette semaine le passage à la nouvelle clé de sécurité Internet qui protège le DNS, le carnet d'adresses de l'Internet. L'ancienne clé KSK (Key Signing Key) de la zone racine sera mise hors service le 10 janvier.
Cette semaine, l'Internet Corporation for Assigned Names and Numbers (Icann) procèdera à un important ménage après le tout premier changement de clé cryptographique effectué avec succès en octobre dernier. En octobre, la Société pour l'attribution des noms de domaine et des numéros sur Internet a déployé une zone racine plus sécurisée, dénommée Key Signing Key-2017 (KSK-2017), mais le processus n'était pas terminé, car l'ancienne clé KSK-2010 est toujours inscrite dans la zone racine. Le 10 janvier, l'Icann révoquera cette ancienne clé et la retirera de la zone racine. La KSK sert à protéger le carnet d'adresses de l'Internet - le système de noms de domaine (DNS) - et la sécurité Internet en général.
« L'Icann pense que la révocation ne provoquera aucun problème », a écrit Paul Hoffman, responsable de la technologie de l'Icann dans un blog qui donne des informations sur la procédure de révocation. « Cependant, c'est la première fois que l'on révoque le KSK de la zone racine du système de noms de domaine (DNS). L'Icann et la communauté technique du DNS suivront donc de près tout ce qui se passera pendant les 48 heures au moins après la publication de la clé KSK-2010 révoquée ». En effet, Paul Hoffman a expliqué qu'« avant de retirer le KSK-2010 de la zone racine, celle-ci sera marquée comme révoquée pour tous les résolveurs répondant à la norme « Automated Updates of DNSSEC Trust Anchors » (RFC 5011). En marquant l'ancienne clé comme révoquée, tout système utilisant la mise à jour automatique RFC 5011 verra que le KSK-2010 n'est plus valide et ne fera plus confiance à cette clé dans le futur. La marque de révocation sera visible jusqu'au 22 mars 2019, date à laquelle la clé KSK-2010 sera complètement et définitivement retirée de la zone racine ».
Une transition en douceur
L'Icann encourage les fournisseurs à ne plus expédier la clé KSK-2010 dans leurs produits. « De même, nous recommandons à toute personne qui maintient manuellement sa liste d'ancres de confiance DNS de retirer la clé KSK-2010 de ses configurations », a encore écrit le responsable de la technologie de l'Icann. Ce changement est au coeur du projet de l'Icann visant à mettre à niveau la paire supérieure de clés cryptographiques utilisées dans le protocole DNSSEC (Domain Name System Security Extensions) - également connu sous le nom de clé de signature de la zone racine ou simplement KSK - qui sécurise les serveurs vitaux de l'Internet. Par le passé, l'Icann avait fait remarquer qu'en raison de l'absence de déploiement significatif des extensions de sécurité du système de noms de domaine (validation DNSSEC, Domain Name System Security Extensions), les réponses du système de serveurs racine, le Root Server System, étaient exposées aux attaques d'intégrité.
De même, parce que les messages DNS sont censés être envoyés en clair, les utilisateurs du système de serveurs racine sont exposés à des attaques de confidentialité. « Même si ces attaques ne sont pas nécessairement nouvelles, le recours croissant au DNS et donc au système de serveurs racine rend nécessaire la mise en place d'une nouvelle stratégie pour réduire les effets de ces attaques », a déclaré l'Icann. Toujours selon l'Icann, le transfert de KSK effectué en octobre dernier, qui s'est déroulé sans heurts, a impliqué la génération d'une nouvelle paire de clés cryptographiques publiques et privées et la distribution du nouveau composant public aux parties qui utilisent des résolveurs de validation. De tels résolveurs exécutent un logiciel qui convertit les adresses classiques comme lemondeinformatique.fr en adresses réseau IP.
Des changements attendus
« Les résolveurs comprennent les fournisseurs de services Internet, les administrateurs de réseaux d'entreprise et autres opérateurs de résolveurs DNS, les développeurs de logiciels de résolution DNS, les intégrateurs systèmes et les distributeurs de matériel et de logiciels qui installent ou expédient « l'ancre de confiance » de la racine », comme l'a déclaré l'Icann. La société pour l'attribution des noms de domaine et des numéros sur Internet informera sur tout problème important concernant les changements mis en oeuvre cette semaine.