Jusqu'ici tout va bien. C'est en tout cas ce qu’a déclaré l'ICANN, l'organisme chargé de l'attribution des noms de domaine et des numéros sur Internet après le déploiement le 11 octobre du premier changement de clé cryptographique qui sert à protéger le carnet d'adresses de l'Internet, autrement dit le Domain Name System (DNS). Cette modification est au cœur du projet de mise à niveau de la paire de clés cryptographiques principale de l'ICANN utilisée dans le protocole DNSSEC (Domain Name System Security Extensions) - communément appelée clé de signature de clé (Key Signing Key - KSK) de la zone racine. Cette paire de clefs, qui se compose d’une clef publique et d’une clef privée, sert à sécuriser les serveurs à la base de l'Internet.
C’est la première fois que l’ICANN procède à un changement de KSK depuis la première émission de la clef en 2010. Le roulement du KSK racine 2010 vers le KSK 2017 devait avoir lieu il y a près d'un an, mais il a été reporté au 11 octobre de cette année par crainte de perturber la connectivité Internet d'un grand nombre d'utilisateurs du Web. Mais jusqu'à présent, l’ICANN n’a constaté aucune perturbation. L’organisation « qui œuvre, avec des participants du monde entier, à la préservation de la sécurité, de la stabilité et de l'interopérabilité de l'Internet » a déclaré que « le roulement du KSK racine a été effectué : la nouvelle zone racine signée par le nouveau KSK-2017 a été publiée sur les serveurs racines ». Dans son communiqué l’ICANN précise encore que « le roulement du KSK racine a eu lieu à 16:00 heures UTC, le 11 octobre », et que « la publication de la zone racine porte le numéro de série 2018101100 ». L’organisation invite aussi à « consulter la page principale du roulement pour avoir plus d'informations sur le processus ». Un peu plus tard, elle a précisé que quelques problèmes avaient été signalés au cours des six premières heures qui ont suivi le roulement, et que la plupart avaient été rapidement résolus. Il est possible de suivre l’avancée du roulement à cette adresse.
Une mise en oeuvre retardée d'un an
Le mois dernier, le Conseil d'administration de l'ICANN a décidé de lancer le roulement dont il avait retardé la mise en œuvre d’une année. L'ICANN avait annoncé que le roulement aurait peu d’impact, n’excluant pas cependant qu'un petit pourcentage d'utilisateurs d'Internet puisse avoir des problèmes pour la résolution des noms de domaine, c’est-à-dire que certains utilisateurs pourraient avoir des difficultés à atteindre leurs destinations en ligne. L'ICANN avait aussi déclaré que pour les utilisateurs d’entreprise, la mise à jour aurait peu d'impact. D’abord, l'ICANN avait déclaré que plus de 99% des utilisateurs dont les résolveurs sont en cours de validation ne seraient pas affectés par le roulement du nouveau KSK. Normalement, les entreprises ont déjà mis à jour leur logiciel pour effectuer des roulements automatiques (roulement « RFC 5011 ») ou ont installé manuellement la nouvelle clé avant la date du roulement.
Au cours de cette réunion, l'ICANN a rappelé que l’objectif essentiel de ce déploiement était d’améliorer la sécurité DNS et a insisté sur sa nécessité. En particulier, « l'évolution continue des technologies et des installations Internet, le déploiement de dispositifs IoT et l'augmentation de la capacité des réseaux dans le monde entier, conjugués au manque regrettable de sécurité de ces dispositifs et réseaux, font que les attaquants disposent de plus en plus de capacités à paralyser les infrastructures Internet », a déclaré l'ICANN. Toujours selon l'ICANN, le basculement KSK consiste à générer une nouvelle paire de clés cryptographiques publiques et privées et à distribuer le nouveau composant public aux parties qui utilisent les résolveurs de validation. Ces résolveurs exécutent un logiciel qui convertit des adresses comme lemondeinformatique.fr en adresses réseau IP. « Parmi les résolveurs, on trouve soit des fournisseurs de services Internet, soit des administrateurs de réseaux d'entreprise et d’autres opérateurs de résolveurs DNS, des développeurs de logiciels de résolution DNS, des intégrateurs de systèmes et des distributeurs de matériel et de logiciels qui installent ou fournissent l’« ancre de confiance » de la racine », a déclaré l'ICANN.
Commentaire