Pour la première fois depuis 2010, l’ICANN prévoit de modifier la clé KSK DNSSEC

Pour la première fois depuis 2010, l’ICANN prévoit de modifier la clé KSK DNSSEC
Source de l’image : TheDigitalArtist via Pixabay

L’ICANN a confirmé le changement de clé KSK du DNS racine en date du 11 octobre 2018.

Pour bien comprendre, reprenons brièvement les bases. L’Internet fonctionne notamment grâce au système DNS (Domain Name System). Véritable carnet d’adresse du web, le DNS traduit en adresse IP les noms de domaine, permettant ainsi à chacun de se connecter à l’adresse voulue. Le DNS est de fait indispensable au bon fonctionnement d’Internet, pas tant d’un point de vue technique, mais d’un point de vue opérationnel. Il serait en effet aujourd’hui inconcevable de devoir utiliser des adresses IP à la place de noms de domaine pour naviguer sur le web.

Le DNS va permettre à l’internaute de renseigner dans son navigateur web, un nom de domaine pour accéder à un site web. Le navigateur va alors « résoudre » ce nom de domaine pour obtenir l’adresse IP du serveur web qui héberge ce site web et l’afficher. On appelle ça la « résolution DNS ».

Du fait de sa position centrale dans le bon fonctionnement du web, le DNS doit donc être protégé et rester hautement disponible. Si ce protocole a bien été conçu avec un souci de sécurité, le contexte cybercriminel était alors bien différent et plusieurs failles ont depuis été détectées.

C’est pour le renforcer et contrer ces vulnérabilités que le protocole DNSSEC a été développé.

DNSSEC permet de se prémunir de différents types d’attaques, en particulier l’empoisonnement du cache, en assurant l’intégrité de la résolution DNS.

Pour assurer l’intégrité de la résolution DNS, DNSSEC permet d’établir une chaine de confiance qui remonte jusqu’à la racine du DNS. La sécurité des données est effectuée à l’aide d’un mécanisme de clés (KSK pour Key Signing Key & ZSK pour Zone Signing Key) qui signe les enregistrements DNS de sa propre zone. Les clés publiques KSK sont alors envoyées au registre correspondant pour être archivées ; le registre étant lui-même lié via DNSSEC au serveur root, la chaine de confiance s’établit. Chaque zone DNS parente, garantit l’authenticité des clés de ses zones filles en les signant.

C’est aujourd’hui pour renforcer ce protocole de sécurité que l’ICANN a décidé de changer la fameuse clé DNSSEC le 11 octobre prochain.

Le roulement KSK va donc permettre de générer une nouvelle paire de clés cryptographiques publiques et privées et de distribuer le nouveau composant public aux parties qui utilisent les résolveurs de validation.

Pourquoi ce changement (KSK rollover pour les intimes) ?

Il n’est bien sûr pas souhaitable qu’une clé cryptographique demeure identique et ne soit pas modifiée. C’est ce changement qui pourra assurer que l’infrastructure DNS est en mesure de supporter un changement de clé, en cas d’urgence notamment. Depuis qu’elle est entrée en fonctionnalité en 2010, la clé KSK utilisée pour les DNSSEC de la zone racine n’a jamais été modifiée.

L’ICANN a expliqué que « l’évolution permanente des technologies et des installations Internet, le déploiement de dispositifs IoT et l’augmentation de la capacité des réseaux dans le monde entier, conjugués au défaut regrettable de sécurité de ces dispositifs et de ces réseaux, font que les attaquants disposent d’une capacité de plus en plus grande de paralyser les infrastructures Internet ». « Plus précisément, cette force d’attaque risque de dépasser les capacités de la communauté des opérateurs de serveurs root et elle ne sera pas en mesure d’opposer une défense adéquate. »

Aujourd’hui, 25% des utilisateurs mondiaux d’Internet, c’est-à-dire 750 millions de personnes, utilisent des résolveurs validant les réponses avec DNSSEC.

Qui pourra être affecté par ce changement ?

Plusieurs types de structures pourraient être affectés par le roulement de la clé :

  • Les développeurs et distributeurs de logiciels Internet
  • Les intégrateurs de systèmes
  • Les opérateurs de réseau
  • Les opérateurs de serveurs racine
  • Les utilisateurs finaux (si les mesures adéquates ne sont pas prises en amont par les opérateurs de résolveurs).

L’ICANN propose un banc d’essai pour toutes les parties souhaitant s’assurer que leurs systèmes peuvent gérer correctement le processus de mise à jour automatique : go.icann.org/ksktest

 

Pour plus d’informations : https://icann.org/kskroll