La clé de chiffrement qui protège Internet va être changée pour la première fois

Bientôt, l'un des dispositifs de sécurité les plus anciens et les plus importants d'Internet va connaître une petite mise à jour.

La Société pour l'attribution des noms de domaine et des numéros sur Internet (ICANN), l'autorité de régulation d'Internet basée aux Etats-Unis, s'apprête à changer la paire de clés de chiffrement publique/privée (cryptographie asymétrique) qui permet d'avoir accès au premier maillon d'une longue chaine cryptographique sur laquelle repose l'ensemble du système de noms de domaine (DNS), l'annuaire de l'Internet.

La clé permet de s'assurer que lorsqu'un utilisateur visite un site web, il sera dirigé vers la bonne adresse. Sans elle, il pourrait se retrouver sur des sites frauduleux créés par des hackers, et être vulnérable aux tentatives de phishing.

« ICANN veut la plus grande transparence possible pour cette opération. Il est essentiel que la communauté toute entière lui fasse confiance, » explique Matt Larson, vice-président de la recherche chez ICANN, à Motherboard.

DNS traduit des noms de domaine faciles à retenir, comme Google.com, en adresses IP numériques ; ainsi, les ordinateurs peuvent les visiter. Cependant, le système DNS n'a pas été conçu, à l'origine, dans le but d'assurer la plus grande sécurité possible. « Lorsqu'il est né, le DNS servait un Internet peu fréquenté, amical, et on ne voyait pas trop en quoi il pouvait être compromis, » ajoute Larson.

En conséquence, un phénomène baptisé « empoisonnement du cache DNS » ou « pollution DNS, » est survenu. Il advient quand un serveur est leurré et redirigé vers une adresse IP incorrecte, orientant le trafic vers un site malveillant contrôlé par un pirate, par exemple.

Pour résoudre ce problème, de nombreux domaines utilisent des extensions de sécurité DNS (DNSSEC), qui permettent de s'assurer que les données DNS proviennent d'une source bien authentifiée. Si un événement louche survient et que les signatures ne concordent pas, votre navigateur se contentera de vous envoyer un message d'erreur plutôt que de vous propulser sur le site web incriminé. DNSSEC ne chiffre pas directement les données sur le site—c'est le boulot des protocoles SSL ou TLS, entre autres—mais vous prévient lorsque vous vous apprêtez à visiter un site louche.

En 2010, ICANN en collaboration avec d'autres organisations, a introduit le système DNSSEC afin de protéger la couche supérieure du DNS, la « zone racine » (DNS root zone).

Une hiérarchie de clés gouverne la procédure d'authentification DNSSEC, et différents corps sont responsables de chaque étape du système. Le haut de la hiérarchie des noms de domaine, gérée par ICANN, consiste en l'ensemble des opérateurs de différents domaines de niveau supérieur, comme .com, .org, etc. Ceux-ci gèrent eux-mêmes les domaines de niveau inférieur, comme MyWebsite.com.

Au sein de cette structure, chaque organisation possède ses propres clés permettant d'obtenir des signatures numériques, et doit signer la clé de l'entité qui lui est inférieure hiérarchiquement parlant. Pour MyWebsite.com, .com devra signer la clé de MyWebsite.com, et la racine DNS devra signer la clé .com. Lorsque l'on visite un site web, cette information est vérifiée quasi instantanément avant que l'ordinateur ne charge la page web. Tout le monde n'utilise pas DNSSEC, mais son adoption est croissante : Comcast l'a mis à disposition de ses clients en 2012, et depuis 2013, le service DNS de Google le supporte entièrement.

C'est la clé publique/privée tout en haut de cette chaine hiérarchique, ou la Root Zone Signing Key, qu'ICANN s'apprête à changer pour la première fois.

« Si vous possédiez cette clé et aviez les connaissances nécessaires pour créer votre propre version de la zone racine… vous seriez en mesure de rediriger un énorme part du trafic, » explique Larson.

« Nous voulons changer cette clé car il s'agit d'une mesure d'hygiène cryptographique élémentaire, » ajoute-t-il.

De la même manière qu'il faut changer régulièrement ses mots de passe pour prévenir une faille de sécurité, changer ses clés devrait être une pratique standard.

« La possibilité que quelqu'un ait déjà cracké le système sans que nous ne nous en soyons aperçu existe bel et bien, » explique Andrew Sullivan, du Internet Architecture Board (un groupe supervise les organisations impliquées dans l'évolution d'Internet) à Motherboard. Il précise néanmoins qu'il n'existe aucune raison de croire que la sécurité du DNS a été compromise à l'heure actuelle.

En effet, l'ICANN applique des mesures de sécurité extraordinaires, et considère que ses menaces potentielles touchent directement les États-nations. Chaque trimestre, elle organise une cérémonie au cours de laquelle des « agents cryptographiques » venant du monde entier se rassemblent dans l'une des installations de gestion des clés, après avoir passé plusieurs barrières de contrôle physiques et numériques.

La clé va également passer de 1024 à 2048 bits. Le temps passant, et la puissance de calcul des ordinateurs augmentant, les chances que quelqu'un parvienne à cracker la clé, quoique faibles, augmentent elles aussi.

« Il est important d'avoir une grosse clé pour la zone racine, et je ne veux pas que nous attendions plus longtemps, » explique Dan Kaminsky, un chercheur en sécurité informatique renommé et pionnier de la recherche sur la sécurité DNS.

ICANN souhaite effectuer ce changement durant une période calme et sans menaces, plutôt qu'à la hâte suite à la découverte d'une brèche de sécurité.

« Nous voulons changer la clé tant que tout va bien, qu'il n'y a aucune urgence, » affirme Larson. « De cette façon, si un acteur parvient à récupérer la clé plus tard, au moins ICANN se sera déjà entrainé à réaliser la procédure efficacement. »

En octobre, au sein d'un bâtiment hyper sécurisé sur la côte est des Etats-Unis, ICANN génèrera une nouvelle clé de chiffrement publique/privée. Au sein de cette paire, la clé privée sera conservée par ICANN, tandis que l'autre sera mise à la disposition des organisations. Les services d'accès à Internet, les fabricants de hardware et les développeurs Linux, par exemple, auront besoin de cette clé publique afin de faire fonctionner leur matériel et leurs services.

Début 2017, deux employé ICANN emmèneront une copie des fichiers chiffrés dans un autre bâtiment, sur la côte ouest, en utilisant des transports commerciaux. La clé publique sera ensuite distribuée à d'autres organismes agréés.

Tout la procédure prendra deux ans en tout. Larson explique que la nouvelle clé apparaîtra pour la première fois sur le DNS le 11 juillet 2017. En octobre 2017, la nouvelle clé sera utilisée pour les signatures.

L'important est de faire passer le mot le plus rapidement possible. Même si les grandes organisations suivent cette actualité depuis longtemps, selon Sullivan, il existe un risque qu'un élément de hardware laissé dans un coin soit troqué contre un autre dans la période creuse entre l'annonce du changement et le changement lui-même (un routeur par exemple), justifiant alors une mise à jour manuelle.

S'adresser aux médias est un moyen efficace de diffuser l'annonce, mais une communication active autour de l'événement a pour but essentiel de s'assurer la confiance des acteurs. Cette confiance est essentielle à la bonne tenue des infrastructures Internet.

« Internet n'est qu'un réseau de réseaux. Il est maintenu par la volonté des personnes qui travaillent sur ces réseaux. Celles-ci doivent rester persuadées que leur travail a un sens et une valeur, sinon, elles cesseraient d'utiliser Internet, » ajoute Sullivan.

DNESSEC et les autres techniques d'authentification peuvent apparaître comme des solutions purement technologiques à un problème complexe. De fait, ces systèmes reposent toujours, d'une manière ou d'une autre, sur les croyances en leur efficacité et en leur pouvoir.

Personne ne sera jamais certain que DNSSEC n'est pas déjà compromis.

« La confiance est une chose éphémère, » conclue Larson.