Générée en 2010, la paire de clés cryptographiques publique-privée va être changée pour la première fois. Indispensable pour mieux sécuriser les accès aux sites, ce processus va prendre deux ans.
L’ICANN (Internet Corporation for Assigned Names and Numbers est une autorité de régulation de l’Internet) s’apprête à entamer une opération majeure pour la sécurité de l’Internet à l’échelle mondiale. Elle va procéder à la modification de la paire de clés cryptographiques privées et publiques qui constitue la clé de signature de clé (KSK-key signing key) de la zone racine.
Elle se déroulera en huit étapes et devrait durer environ deux ans. L’ICANN a publié un calendrier. Le mois prochain, le processus de préparation de la nouvelle clé sera lancé. En novembre, la nouvelle KSK sera générée puis, en juillet 2017, elle sera insérée aux premiers DNS. En octobre 2017, l’ancienne KSK sera retirée et elle sera révoquée début 2018. Ce long processus devrait être terminé en mars 2018.
Chaque étape étant cruciale et impliquant de nombreux acteurs, l’organisme a ouvert une page spéciale pour connaître les dernières informations sur le changement de KSK.
Pourquoi autant de précautions ? La KSK est une paire de clés cryptographiques publique-privée qui joue un rôle important dans le protocole des extensions de sécurité du système des noms de domaine. (DNS-Domain Name System). En un mot, l’annuaire de l’internet où des sites comme monsite.com sont traduits en adresse IP numérique.
La partie publique de la paire de clés est le point de départ fiable pour la validation des accès aux sites et plus précisément l’ensemble des DNS. Elle garantit que le site visité est bien l’original est non pas une copie malveillante (des pirates auraient détourné l’adresse).
Sa partie privée est utilisée au cours des cérémonies KSK de la racine pour signer les clés de signature de la zone racine (la fameuse « Root Zone Signing Key », qui est le niveau le plus élevé dans la hiérarchie de la toile). Chaque trimestre, les quatorze « key holders », gardiens des clés (auxquelles il faut ajouter sept autres personnes que l’on présenter comme des remplaçants) se réunissent dans un data center aux États-Unis.
La clé privée est conservée par ICANN, tandis que l’autre sera mise à la disposition des fournisseurs d’accès à Internet, des fabricants de hardware, de développeurs…
À l’occasion de ce processus, la clé va être modifiée, passant de 1024 à 2048 bits.
Malgré toutes ces précautions, des serveurs peuvent être dirigés vers une adresse IP incorrecte : les internautes arrivent alors sur un site malveillant contrôlé par un pirate. C’est ce qu’on appelle le « DNS Poisoning ». Ce fut le cas pour le site du Ministère de la Défense en juin 2011. Preuve que le niveau de sécurité du DNS est faible. Pour limiter les risques, de nombreux domaines utilisent des extensions de sécurité DNS (DNSSEC), qui permettent de s’assurer que les données DNS proviennent d’une source bien authentifiée. En cas d’accès ou de redirection suspecte, le navigateur web affiche un message d’erreur.
La nouvelle clé est une garantie supplémentaire pour permettre à tout un chacun de surfer sur le web en toute sérénité. Il faut espérer que cette précieuse clé ne tombe pas entre de mauvaises mains. En 2007, le Homeland Security (organisation gouvernementale américaine) avait exigé de l’ICANN sa clé privée.
Par Philippe Richard
Réagissez à cet article
Vous avez déjà un compte ? Connectez-vous et retrouvez plus tard tous vos commentaires dans votre espace personnel.
Inscrivez-vous !
Vous n'avez pas encore de compte ?
CRÉER UN COMPTE