L'Icann révoquera cette semaine la clé de sécurité DNS KSK-2010 - Actualités RT Réseaux

L'Icann révoquera cette semaine la clé de sécurité DNS KSK-2010

le 08/01/2019, par Michael Cooney, IDG NS (adapté par Jean Elyan), Réseaux, 685 mots

L'Icann achèvera cette semaine le passage à la nouvelle clé de sécurité Internet qui protège le DNS, le carnet d'adresses de l'Internet. L'ancienne clé KSK (Key Signing Key) de la zone racine sera mise hors service le 10 janvier.

L'Icann révoquera cette semaine la clé de sécurité DNS KSK-2010

Cette semaine, l'Internet Corporation for Assigned Names and Numbers (Icann) procèdera à un important ménage après le tout premier changement de clé cryptographique effectué avec succès en octobre dernier. En octobre, la Société pour l'attribution des noms de domaine et des numéros sur Internet a déployé une zone racine plus sécurisée, dénommée Key Signing Key-2017 (KSK-2017), mais le processus n'était pas terminé, car l'ancienne clé KSK-2010 est toujours inscrite dans la zone racine. Le 10 janvier, l'Icann révoquera cette ancienne clé et la retirera de la zone racine. La KSK sert à protéger le carnet d'adresses de l'Internet - le système de noms de domaine (DNS) - et la sécurité Internet en général.

« L'Icann pense que la révocation ne provoquera aucun problème », a écrit Paul Hoffman, responsable de la technologie de l'Icann dans un blog qui donne des informations sur la procédure de révocation. « Cependant, c'est la première fois que l'on révoque le KSK de la zone racine du système de noms de domaine (DNS). L'Icann et la communauté technique du DNS suivront donc de près tout ce qui se passera pendant les 48 heures au moins après la publication de la clé KSK-2010 révoquée ». En effet, Paul Hoffman a expliqué qu'« avant de retirer le KSK-2010 de la zone racine, celle-ci sera marquée comme révoquée pour tous les résolveurs répondant à la norme « Automated Updates of DNSSEC Trust Anchors » (RFC 5011). En marquant l'ancienne clé comme révoquée, tout système utilisant la mise à jour automatique RFC 5011 verra que le KSK-2010 n'est plus valide et ne fera plus confiance à cette clé dans le futur. La marque de révocation sera visible jusqu'au 22 mars 2019, date à laquelle la clé KSK-2010 sera complètement et définitivement retirée de la zone racine ».

Une transition en douceur

L'Icann encourage les fournisseurs à ne plus expédier la clé KSK-2010 dans leurs produits. « De même, nous recommandons à toute personne qui maintient manuellement sa liste d'ancres de confiance DNS de retirer la clé KSK-2010 de ses configurations », a encore écrit le responsable de la technologie de l'Icann. Ce changement est au coeur du projet de l'Icann visant à mettre à niveau la paire supérieure de clés cryptographiques utilisées dans le protocole DNSSEC (Domain Name System Security Extensions) - également connu sous le nom de clé de signature de la zone racine ou simplement KSK - qui sécurise les serveurs vitaux de l'Internet. Par le passé, l'Icann avait fait remarquer qu'en raison de l'absence de déploiement significatif des extensions de sécurité du système de noms de domaine (validation DNSSEC, Domain Name System Security Extensions), les réponses du système de serveurs racine, le Root Server System, étaient exposées aux attaques d'intégrité.

De même, parce que les messages DNS sont censés être envoyés en clair, les utilisateurs du système de serveurs racine sont exposés à des attaques de confidentialité. « Même si ces attaques ne sont pas nécessairement nouvelles, le recours croissant au DNS et donc au système de serveurs racine rend nécessaire la mise en place d'une nouvelle stratégie pour réduire les effets de ces attaques », a déclaré l'Icann. Toujours selon l'Icann, le transfert de KSK effectué en octobre dernier, qui s'est déroulé sans heurts, a impliqué la génération d'une nouvelle paire de clés cryptographiques publiques et privées et la distribution du nouveau composant public aux parties qui utilisent des résolveurs de validation. De tels résolveurs exécutent un logiciel qui convertit les adresses classiques comme lemondeinformatique.fr en adresses réseau IP.

Des changements attendus

« Les résolveurs comprennent les fournisseurs de services Internet, les administrateurs de réseaux d'entreprise et autres opérateurs de résolveurs DNS, les développeurs de logiciels de résolution DNS, les intégrateurs systèmes et les distributeurs de matériel et de logiciels qui installent ou expédient « l'ancre de confiance » de la racine », comme l'a déclaré l'Icann. La société pour l'attribution des noms de domaine et des numéros sur Internet informera sur tout problème important concernant les changements mis en oeuvre cette semaine.

Cisco cible les apps mobiles d'entreprise avec sa technologie de...

Le portail centralisé dans le cloud DNA Spaces de Cisco inclut la solution de géolocalisation Connected Mobile Experience (CMX) de Cisco et la technologie de géolocalisation d'entreprise rachetée en juin...

le 15/01/2019, par Michael Cooney, IDG NS (adapté par Jean Elyan), 904 mots

Un portier vidéo Netatmo avec back-up cloud optionnel

Cette sonnette connectée et autonome de Netatmo repose sur une carte microSD pour le stockage. La startup française, rachetée en novembre 2018 par Legrand, propose une sonnette vidéo connectée sans frais...

le 14/01/2019, par Martyn Williams IDG NS (adapté par Jean Elyan), 405 mots

Du LiFi abordable présenté au CES 2019

Le LiFi devient moins cher et plus flexible. C'est le cas du nouveau kit Lifimax présenté par le français Oledcomm au CES 2019 de Las Vegas.  L

le 11/01/2019, par Fergus Halliday, IDG NS (adaptation Jean Elyan), 252 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Joël Mollo

VP Europe du sud de SkyHigh

« Nous créons un nouveau marché autour de la sécurité du cloud »