Lorsque vous entendez parler des « clés de l’Internet », cela fait référence à quelque chose de très spécifique : une clé numérique qui est utilisée pour vérifier la sécurité du système des noms de domaine (DNS). L’idée d’une clé maîtresse capable de contrôler une fonction essentielle semble tirée d’un roman d’espionnage. Elle a fait l’objet d’innombrables reportages, ainsi que d’émissions de télévision et de radio qui évoquent la thèse selon laquelle sept personnes détiendraient les clés de l’Internet. Ces récits romancés, ainsi que certains reportages journalistiques, peuvent en exagérer l’importance. Examinons en termes simples ce que sont ces clés et comment elles sont gérées.
De quelles clés s’agit-il ?
Le DNS est protégé au plus haut niveau par un sceau d’authenticité, appelé « clé de signature de la zone racine ». On parle souvent plus simplement de « clé de signature », de « clé racine », de « KSK » de la racine ou d’ « ancre de confiance » du DNS. Les ordinateurs du monde entier peuvent vérifier si le système fonctionne correctement en examinant si ce sceau d’authenticité est présent et n’a pas été altéré. Pour que ce système fonctionne, ce sceau doit être placé tous les trois mois sur d’autres clés utilisées dans le cadre des opérations quotidiennes.
Où est stockée la clé de signature ?
La clé de signature est stockée dans deux installations sécurisées. L’une d’entre elles est située à Los Angeles (Californie) et l’autre à Culpeper (Virginie). Ces installations sont des répliques l’une de l’autre.
Chacune des deux dispose d’une salle de cérémonie spécialement conçue pour garder la clé de signature. La clé elle-même est un fichier informatique stocké dans un dispositif spécialisé appelé module matériel de sécurité (HSM). Il est conçu pour stocker la clé en toute sécurité, à l’instar d’un disque dur d’ordinateur perfectionné, doté de fonctions de sécurité supplémentaires.
Qu’est-ce qu’une cérémonie de clé ?
Lorsque la clé de signature est appliquée à d’autres clés tous les trois mois, elle doit être utilisée de manière à prouver qu’elle n’a pas été altérée et qu’elle n’est pas utilisée à d’autres fins. Pour ce faire, une « cérémonie de clé » publique est organisée. Lors de cette cérémonie, des experts du monde entier observent comment la clé de signature est utilisée. Ils examinent également chaque étape du processus pour vérifier que tout se déroule correctement. L’ensemble du processus est enregistré, diffusé en direct et surveillé par des auditeurs indépendants.
Qui sont les experts qui y participent ?
Ces experts sont des spécialistes de la sécurité du monde entier et des membres du personnel de l’organisation ICANN chargés de la gestion quotidienne de la clé de signature. La plupart des experts qui ne font pas partie du personnel sont appelés « représentants de confiance de la communauté », car leur tâche consiste à représenter l’ensemble de la communauté technique dans le processus. Outre ces experts et d’autres participants, des représentants des médias et d’autres personnes capables de contribuer à promouvoir la visibilité de ces cérémonies y assistent souvent.
Quel est le rôle des experts pendant la cérémonie ?
Chaque personne joue un rôle différent. L’accès à la clé de signature est conçu de telle sorte que plusieurs personnes différentes doivent être présentes pour que le système fonctionne, garantissant ainsi une sécurité renforcée. Certaines personnes peuvent accéder aux cartes à puce utilisées pour activer le HSM. D’autres possèdent les combinaisons d’un coffre-fort dans lequel est stocké le HSM. D’autres possèdent des clés permettant d’entrer dans la salle. L’accès à l’installation est assuré par des personnes qui se trouvent complètement à l’extérieur du site. Au total, une douzaine de personnes au moins sont nécessaires à chaque cérémonie pour ouvrir et activer tous les éléments nécessaires à l’utilisation de la clé de signature.
Comment se déroulent les cérémonies ?
Chaque cérémonie dure entre trois et huit heures. Les cérémonies suivent un scénario rigoureux et précis, étape par étape. Chaque étape est minutieusement suivie et vérifiée. Cela peut prendre beaucoup de temps.
Pourquoi est-il important de s’assurer que la clé est manipulée correctement ?
La clé de signature n’a de valeur que si l’on peut garantir qu’elle n’a pas été copiée ou dupliquée par d’autres personnes. Pour ce faire, il faut prouver que la clé de signature est uniquement utilisée aux fins prévues lors de ces cérémonies trimestrielles. Si la clé de signature risquait d’être utilisée de manière non autorisée, il n’y aurait aucune garantie qu’elle n’ait pas été dupliquée et le sceau d’authenticité deviendrait inutile.
Quels sont les principaux éléments qui garantissent la sécurité de la clé ?
Trois éléments essentiels sont à prendre en compte :
- Le principe le plus important du processus est la préservation de la « chaîne de contrôle ». À l’instar des preuves que la police peut recueillir sur une scène de crime, il s’agit de stocker tous les éléments nécessaires à l’utilisation de la clé de signature de manière à prouver qu’ils n’ont pas été altérés en vue d’une utilisation ultérieure. Les composants sont étiquetés et emballés dans des sacs inviolables et un enregistrement vidéo est réalisé chaque fois qu’un sac est ouvert ou déplacé. Nous savons ainsi exactement où se trouve chaque élément, depuis sa création jusqu’au moment où il n’est plus nécessaire. Si un sac est perdu ou ouvert sans autorisation, cela ne manquera pas d’être remarqué. Le contenu est alors déclaré compromis et ne peut plus être considéré comme fiable.
- L’accès aux installations est contrôlé par plusieurs niveaux de sécurité physique. Les sacs sont stockés dans des coffres-forts, qui sont stockés dans des cages, qui sont stockées dans une salle de cérémonie sécurisée, qui est hébergée dans une installation de haute sécurité. Chaque couche de sécurité nécessite l’accès d’une ou de plusieurs personnes différentes. Toutes ces personnes se réunissent uniquement lors d’une cérémonie de clé pour avoir accès à ces sacs. Par ailleurs, l’installation est équipée d’un ensemble de capteurs permettant de détecter les accès non autorisés, qui sont surveillés 24 heures sur 24 par des gardes armés sur place et des experts techniques à distance.
- Le module matériel de sécurité : ce dispositif stocke les fichiers numériques qui contiennent la clé de signature. Il s’agit d’un disque dur très spécialisé. Il est doté de protections spécifiques qui lui permettent de s’autodétruire en cas d’utilisation non autorisée. Si quelqu’un essaie de l’ouvrir, si quelqu’un le fait tomber, s’il est secoué, les données qu’il contient seront détruites. Il ne fonctionnera pas non plus si l’on essaie de l’utiliser sans la présence de tous les experts nécessaires.
Qu’en est-il des « sept clés de l’Internet » ?
Une cinquantaine d’experts différents sont directement impliqués dans les cérémonies de clé. Vingt-et-un d’entre eux sont sélectionnés au sein de la communauté Internet mondiale. Ils sont répartis en trois groupes de sept personnes. Chaque groupe a un but différent. Étant donné que dans le cadre de la protection de la sécurité de la clé de signature, il faut que des personnes issues de ces groupes participent aux cérémonies de signature, on simplifie souvent l’idée en disant qu’il y a sept clés de l’Internet, ou sept personnes qui contrôlent l’Internet. Cela masque toutefois la véritable complexité des contrôles qui se chevauchent à de nombreux niveaux. Le schéma complet nécessite bien plus que sept personnes ou sept clés pour accéder à la clé de signature de la zone racine ou pour l’utiliser.
C’est donc plus compliqué que cela ?
Il s’agit d’une description simplifiée d’un sujet complexe. La clé de signature de la zone racine se trouve au sommet d’une infrastructure hiérarchique de clés publiques contenant de nombreuses clés différentes gérées par d’autres personnes et qui sont toutes interdépendantes. Il faut savoir que la technologie DNSSEC (extensions de sécurité du système des noms de domaine) que ces clés permettent de mettre en œuvre n’est qu’un outil parmi d’autres dans la vaste boîte à outils des technologies qui sécurisent le fonctionnement de l’Internet.
Le document officiel qui régit le fonctionnement de ce processus s’appelle « Déclaration de pratique DNSSEC ». Le document, accompagné d’images d’archive des principales cérémonies et d’autres éléments évoqués ici, est disponible sur https://iana.org/dnssec.
