L'Icann révoquera cette semaine la clé de sécurité DNS KSK-2010 - Actualités RT Réseaux

L'Icann révoquera cette semaine la clé de sécurité DNS KSK-2010

le 08/01/2019, par Michael Cooney, IDG NS (adapté par Jean Elyan), Réseaux, 685 mots

L'Icann achèvera cette semaine le passage à la nouvelle clé de sécurité Internet qui protège le DNS, le carnet d'adresses de l'Internet. L'ancienne clé KSK (Key Signing Key) de la zone racine sera mise hors service le 10 janvier.

L'Icann révoquera cette semaine la clé de sécurité DNS KSK-2010

Cette semaine, l'Internet Corporation for Assigned Names and Numbers (Icann) procèdera à un important ménage après le tout premier changement de clé cryptographique effectué avec succès en octobre dernier. En octobre, la Société pour l'attribution des noms de domaine et des numéros sur Internet a déployé une zone racine plus sécurisée, dénommée Key Signing Key-2017 (KSK-2017), mais le processus n'était pas terminé, car l'ancienne clé KSK-2010 est toujours inscrite dans la zone racine. Le 10 janvier, l'Icann révoquera cette ancienne clé et la retirera de la zone racine. La KSK sert à protéger le carnet d'adresses de l'Internet - le système de noms de domaine (DNS) - et la sécurité Internet en général.

« L'Icann pense que la révocation ne provoquera aucun problème », a écrit Paul Hoffman, responsable de la technologie de l'Icann dans un blog qui donne des informations sur la procédure de révocation. « Cependant, c'est la première fois que l'on révoque le KSK de la zone racine du système de noms de domaine (DNS). L'Icann et la communauté technique du DNS suivront donc de près tout ce qui se passera pendant les 48 heures au moins après la publication de la clé KSK-2010 révoquée ». En effet, Paul Hoffman a expliqué qu'« avant de retirer le KSK-2010 de la zone racine, celle-ci sera marquée comme révoquée pour tous les résolveurs répondant à la norme « Automated Updates of DNSSEC Trust Anchors » (RFC 5011). En marquant l'ancienne clé comme révoquée, tout système utilisant la mise à jour automatique RFC 5011 verra que le KSK-2010 n'est plus valide et ne fera plus confiance à cette clé dans le futur. La marque de révocation sera visible jusqu'au 22 mars 2019, date à laquelle la clé KSK-2010 sera complètement et définitivement retirée de la zone racine ».

Une transition en douceur

L'Icann encourage les fournisseurs à ne plus expédier la clé KSK-2010 dans leurs produits. « De même, nous recommandons à toute personne qui maintient manuellement sa liste d'ancres de confiance DNS de retirer la clé KSK-2010 de ses configurations », a encore écrit le responsable de la technologie de l'Icann. Ce changement est au coeur du projet de l'Icann visant à mettre à niveau la paire supérieure de clés cryptographiques utilisées dans le protocole DNSSEC (Domain Name System Security Extensions) - également connu sous le nom de clé de signature de la zone racine ou simplement KSK - qui sécurise les serveurs vitaux de l'Internet. Par le passé, l'Icann avait fait remarquer qu'en raison de l'absence de déploiement significatif des extensions de sécurité du système de noms de domaine (validation DNSSEC, Domain Name System Security Extensions), les réponses du système de serveurs racine, le Root Server System, étaient exposées aux attaques d'intégrité.

De même, parce que les messages DNS sont censés être envoyés en clair, les utilisateurs du système de serveurs racine sont exposés à des attaques de confidentialité. « Même si ces attaques ne sont pas nécessairement nouvelles, le recours croissant au DNS et donc au système de serveurs racine rend nécessaire la mise en place d'une nouvelle stratégie pour réduire les effets de ces attaques », a déclaré l'Icann. Toujours selon l'Icann, le transfert de KSK effectué en octobre dernier, qui s'est déroulé sans heurts, a impliqué la génération d'une nouvelle paire de clés cryptographiques publiques et privées et la distribution du nouveau composant public aux parties qui utilisent des résolveurs de validation. De tels résolveurs exécutent un logiciel qui convertit les adresses classiques comme lemondeinformatique.fr en adresses réseau IP.

Des changements attendus

« Les résolveurs comprennent les fournisseurs de services Internet, les administrateurs de réseaux d'entreprise et autres opérateurs de résolveurs DNS, les développeurs de logiciels de résolution DNS, les intégrateurs systèmes et les distributeurs de matériel et de logiciels qui installent ou expédient « l'ancre de confiance » de la racine », comme l'a déclaré l'Icann. La société pour l'attribution des noms de domaine et des numéros sur Internet informera sur tout problème important concernant les changements mis en oeuvre cette semaine.

Pourquoi adopter un SD-WAN managé (2e partie)

Au moment de choisir entre un service DIY et un service géré pour le SD-WAN, il est important pour une entreprise de prendre en compte le WAN actuel, le niveau requis de compétences en IT, la portée...

le 16/08/2019, par Neal Weinberg, Network World (adaptation Jean Elyan), 985 mots

Pourquoi adopter un SD-WAN managé (1e partie)

Au moment de choisir entre un service DIY et un service managé pour le SD-WAN, il est important pour une entreprise de prendre en compte le WAN actuel, le niveau requis de compétences en IT, la portée...

le 14/08/2019, par Neal Weinberg, Network World (adaptation Jean Elyan), 1264 mots

Les petits acteurs de l'IoT, condamnés à être dévorés par les plus...

Le secteur de l'internet des objets (IoT) retrouve un peu de dynamisme après une période décevante, l'IoT ayant été sanctionné pour n'avoir pas tenu ses promesses - irréalistes - de croissance entre 2015 et...

le 05/08/2019, par Eleanor Dickinson, ARNnet (adaptation Jean Elyan), 661 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...