L'un des maillons de base pour la sécurité des noms de domaine internet doit être mis à jour au niveau mondial. Selon le calendrier publié le 1er février 2018, les clés de signature DNSSEC (Domain Name System Security Extensions) de la zone racine du système de noms de domaine (DNS, Domain Name System), doivent être renouvelées d'ici au 11 octobre 2018. Ces clés servent à authentifier les informations envoyées par le DNS et contribuent ainsi à sécuriser ce dernier. Les exploitants de réseaux internet sont particulièrement concernés par cette mise à jour et doivent donc s'informer en conséquence. En Suisse, DNSSEC n'est actuellement utilisé que par 2% env. des noms de domaine .ch et 1,3% des .swiss. Ces taux d'utilisation devraient toutefois rapidement augmenter puisque certains registraires intègrent désormais cette option par défaut dans leurs offres d'enregistrement de noms de domaine.
Olivier Girard, Services de télécommunication et poste
Le nouveau projet de plan de renouvellement des clés de signature DNSSEC de la zone racine du DNS (DNS root zone) a été publié par l'ICANN, l'Internet Corporation for Assigned Names and Numbers. Il fait suite à une première tentative qui avait dû être interrompue à la dernière minute fin septembre 2017. L'ICANN avait alors constaté que trop de systèmes n'avaient pas encore été mis à jour.
Les exploitants de réseaux (principalement les ISP, les exploitants de réseaux d'entreprises et les fournisseurs de prestations en lien avec le DNS) ont désormais jusqu'au 11 octobre 2018 pour effectuer les adaptations nécessaires. D'ici là, ils sont invités à s'informer des prochaines échéances concernant le processus de renouvellement des clés de signature DNSSEC de la zone racine et surtout des éventuelles mesures à prendre au sein de leur infrastructure. En effet, un maillon défaillant dans la chaîne de confiance mise en place avec DNSSEC pourrait avoir de graves conséquences sur certains systèmes et processus critiques basés sur Internet. Toutes les informations utiles sont accessibles sur le site web de l'ICANN
DNSSEC, un élément de garantie de l'identité d'un site internet
Les clés de signature DNSSEC permettent de garantir qu'un site web identifié par un nom de domaine (par ex. www.admin.ch) est bien celui qu'il prétend être. Le DNSSEC (Domain Name System Security Extensions) n'est pas très connu du grand public. Il met en place une chaîne de confiance dont le premier maillon se trouve à la racine même du système de noms de domaine internet. Il agit donc au point de départ de la conversion d'une adresse web (p.ex. www.google.com) en adresse IP (p.ex. 172.217.13.78). Cette conversion – ou résolution dans le jargon informatique – a lieu à chaque fois qu'un utilisateur entre une adresse web dans son navigateur.
Dans ce processus, une première requête est adressée à la zone racine du DNS qui répond en fournissant des informations sur la zone de premier niveau (la zone 'com' si l'on reprend l'exemple évoqué ci-dessus). Une 2ème demande est alors adressée à la zone "com" du DNS qui renseigne sur le prochain niveau, la zone "google.com". Finalement une troisième requête adressée à la zone "google.com" du DNS va fournir des informations sur l'adresse web "www.google.com" et notamment son adresse IP, permettant ainsi au navigateur d'accéder à la page web souhaitée. DNSSEC permet d'authentifier les réponses qui sont données par le DNS à chaque requête du processus de résolution. Sans ce contrôle, une personne mal intentionnée peut se substituer à l'un des niveaux pour diriger l'internaute vers une adresse IP erronée dont il a le contrôle. Ce type d'attaques est appelé "homme du milieu" (man-in-the-middle attack, MITM).
Le système d'authentification des informations de DNSSEC est basé sur les principes d'une infrastructure à clés publiques (Public Key Infrastructure, PKI). Pour schématiser, le server DNS qui fournit des informations au niveau directement inférieur du DNS signe ces informations au moyen d'un système de clés cryptographiques privées. Le résolveur qui reçoit les informations peut authentifier l'origine et vérifier l'intégrité des données au moyen d'un système de clés cryptographiques publiques du server DNS. Un des éléments de ce système de clés cryptographiques utilisé tout au début de la chaîne de confiance, au niveau de la zone racine du DNS, a été généré en 2010 lors de l'introduction de DNSSEC et n'a jamais été renouvelée depuis lors. C'est précisément cet élément, identifié comme clé de signature de clé (Key Signing Key, KSK), qui devra être remplacé dans le processus de renouvellement actuellement conduit par l'ICANN.
Dans une première tentative initiée en 2015, l'ICANN avait prévu de générer un nouvel élément KSK en 2016. Il devait ensuite être introduit dans la zone racine du DNS en juillet 2017 (en parallèle avec l'ancien élément KSK) et il était prévu de basculer la résolution des noms de domaine Internet uniquement au moyen de ce nouvel élément KSK dès le 11 octobre 2017. Quelques semaines seulement avant cette échéance, une analyse des informations sur l'état des résolveurs (les servers qui effectuent la résolution des noms de domaine et qui valident l'authentification des échanges DNS au moyen de DNSSEC) indiquaient qu'un nombre trop élevé de ces systèmes n'avaient pas été mis à jour avec les paramètres du nouvel élément KSK et n'auraient ainsi pas été capables d'authentifier l'origine et de vérifier l'intégrité des réponses données aux requêtes DNS au moyen de DNSSEC. L'ICANN a donc pris la décision, le 27 septembre 2017, de stopper le processus et de repousser le renouvellement de l'élément KSK.
L'OFCOM suivra activement les développements du processus de l'ICANN et informera en conséquence les ISP qui sont enregistrés comme fournisseurs de services de télécommunication selon la loi sur les télécommunications.
Dernière modification 10.04.2018
