Los Angeles, Californie. La Société pour l'attribution des noms de domaines et des numéros sur Internet (ICANN) a annoncé aujourd'hui que le plan pour changer la clé cryptographique utilisée pour protéger le système des noms de domaine (DNS) a été reporté.
Le changement ou « roulement » de la clé, prévu initialement pour le 11 octobre, a été reporté en raison des dernières données obtenues, qui montrent qu'un nombre significatif de résolveurs utilisés par les fournisseurs de services Internet (FSI) et les opérateurs de réseau ne sont pas encore prêts pour cette mise en œuvre.
Il peut y avoir plusieurs raisons pour lesquelles les opérateurs n'ont pas installé la nouvelle clé dans leurs systèmes : certains d'entre eux n'ont peut-être pas configuré correctement leurs logiciels, et un problème récemment découvert dans le logiciel d'un résolveur largement utilisé semble ne pas permettre les mises à jour automatiques, pour des raisons qui sont en cours d'étude.
« La sécurité, la stabilité et la résilience du système des noms de domaine est notre mission fondamentale. Nous préférons procéder de manière prudente et raisonnable plutôt que de mettre en œuvre le roulement à la date annoncée du 11 octobre », a indiqué le PDG de l'ICANN, Göran Marby. « Il serait irresponsable de procéder au roulement de la clé après avoir identifié ces nouveaux problèmes qui pourraient avoir une incidence négative sur un nombre important d'utilisateurs finaux. »
Le changement de clé consiste à générer une nouvelle paire de clés cryptographiques et à distribuer la nouvelle composante publique aux résolveurs qui valident les extensions de sécurité du système des noms de domaine (DNSSEC). Compte tenu du nombre estimé d'utilisateurs Internet qui ont recours à des résolveurs validant les signatures DNSSEC, on estime qu'un internaute sur quatre, soit 750 millions de personnes à travers le monde, pourraient être affectées par le roulement de la clé de signature de clé.
L'ICANN lance un appel à sa communauté, aux Registres Internet régionaux, aux groupes d'opérateurs de registre et aux autres groupes afin d'explorer et résoudre ces problèmes.
La nouvelle date du roulement de la clé n'a pas été déterminée. Le bureau du directeur de la technologie a indiqué envisager de reporter le roulement au premier trimestre 2018, mais cette date est tentative car elle dépend des résultats des recherches entamées pour mieux comprendre les problèmes identifiés et des actions à mettre en place pour atténuer tout risque de défaillance. En attendant, l'ICANN reste confiante dans la sécurité de la clé cryptographique actuelle et, par extension, dans la sécurité du DNS.
L'ICANN communiquera toute nouvelle information disponible à ce sujet et annoncera la nouvelle date du roulement le moment venu.
« Nous espérons que les opérateurs de réseau utiliseront ce délai supplémentaire pour s'assurer que leurs systèmes sont prêts pour le changement de clé », a ajouté Marby. « Notre plateforme d'essai (http://go.icann.org/KSKtest) aidera les opérateurs à vérifier que leurs résolveurs sont correctement configurés avec la nouvelle clé. Nous poursuivrons le dialogue et la communication avec ces opérateurs. »
À propos du DNSSEC
Pour identifier plus facilement les ressources de l'Internet, les adresses numériques qui en sont à la base sont représentées au moyen de chaînes de caractères lisibles par l'homme. La conversion de ces chaînes en numéros est assurée par le système de noms de domaine (DNS), un système distribué et hiérarchique. La complexité croissante de l'informatique et de la réseautique depuis leur conception en 1983 a rendu cet « annuaire téléphonique » plus vulnérable aux attaques. En réponse à ces menaces, l'organisation internationale de normalisation, l'IETF, a développé les extensions de sécurité du système des noms de domaine (DNSSEC), destinées à garantir par des moyens cryptographiques que les contenus du DNS ne puissent pas être modifiés par rapport à leur source sans que ce changement soit détecté. Le déploiement des DNSSEC empêche l'attaquant de rediriger les utilisateurs en se servant du DNS.
##
Pour être au courant des dernières informations sur le roulement de la KSK, rendez-vous sur https://www.icann.org/resources/pages/ksk-rollover
Sur les médias sociaux, utilisez : #Keyroll
# # #
Contacts médias
Brad White
Directeur des communications, Amérique du Nord
Washington D.C
Tél. : +1 202 570 7118
Courriel : brad.white@icann.org
James Cole
Coordinateur médias internationaux
Washington D.C
Tél. : +1 202 733 7598
Courriel :james.cole@icann.org
À propos de l'ICANN
La mission de l'ICANN est de garantir un Internet mondial sûr, stable et unifié. Pour contacter une personne sur Internet, vous devez saisir une adresse sur votre ordinateur : un nom ou un numéro. Cette adresse doit être unique pour permettre aux ordinateurs de s'identifier entre eux. L'ICANN coordonne ces identificateurs uniques à l'échelle mondiale. La société ICANN a été fondée en 1998 en tant qu'organisation à but non lucratif, reconnue d'utilité publique. Elle rassemble au sein de sa communauté des participants du monde entier. L'ICANN et sa communauté œuvrent à la préservation de la sécurité, la stabilité et l'interopérabilité de l'Internet. L'organisation assure également la promotion de la concurrence, élabore des politiques pour le système de nommage de premier niveau de l'Internet et facilite l'utilisation d'autres identificateurs uniques de l'Internet. Pour en savoir plus, visitez le site : www.icann.org.